작년에 이어 올해도 바이두 클라우드에서 동기화된 고객 사진들이 유출되었습니다.
바이두는 또 한번 제품 로직에 문제로 인해 고객의 사진, 파일 등 개인정보들이 유출되었다고 밝혔습니다.
7월 18일, 한 네티즌은 많은 사용자가 바이두 클라우드에 올라가 있는 자료들을 자동으로 공유하는 기능을 잘못 사용하여, 수만명의 개인,기업 및 정보관료 등의 정보들이 유출되었다고 밝혔습니다.
<이미지 출처 : http://news.163.com/17/0719/10/CPN0E92400018AOR.html>
사용자가 잘못 사용한 "Public 공유"기능, 대량의 개인정보 유출로 이어져
<이미지 출처 : http://news.163.com/17/0719/10/CPN0E92400018AOR.html>
바이두 클라우드 공유기능은 "Public"과 "Private" 두가지 형태가 있습니다.
"Public공유" 기능은 일단 사용자가 공유하기를 누르면 공유할 수 있는 링크가 생성되며, 해당 링크를 통하여 누구나 접근 및 다운로드가 가능합니다. 7월 18일, 위챗 기업계정의 "비추천"추기에는 <내가 바이두 클라우드에서 수만건의 개인정보, 기업정보, 정부관계자 정보 및 각종 DB들을 보았다>라는 문장이 게재되었습니다. 이 문장에서는 바이두 클라우드 사용자가 실수로 "공유" 기능을 사용할 때자신의 사진, 파일등을 "Public"으로 설정하는 경우가 있습니다. 이렇게 저장된 정보들은 암호화 되어 있지 않기 때문에 public으로 공유된 정보들은 사용자의 메인 페이지에 노출될 뿐만 아니라, 검색을 통하여 누구든지 해당 파일에 접속할 수 있게 됩니다.
이는 즉 바이두 클라우드 사용자가 자신의 사진을 업로드 하고 public 으로 공유만 설정해 놓는다면, 누구든지 검색을 통하여 해당 파일들을 모두 볼 수 있다는 것입니다.
이 문장에는 대량의 캡쳐 이미지가 포함되어 있었는데, 어떤 사용자는 자신의 메인에 대량의 사진들을 공유하고 있었습니다. 그중에는 "나의 영상","태국", "내사진", "고3 졸업사진"등의 폴더가 있었으며, 이것들은 누가봐도 개인적인 사진들이였습니다.
기자는 이런 "일반 사용자"들의 팔로우가 최소 몇백명에서 만명까지 되는 것으로 확인하였습니다.
<이미지 출처 : http://news.163.com/17/0719/10/CPN0E92400018AOR.html>
19일 오전 8시 45분, 기자는 동일한 사용자 페이지를 방문하였으며, 여전히 이 파일들이 공유된 상태인 것을 확인하였습니다. 하지만 9시쯤, 이 사용자들의 공유되었던 파일들이 모두 삭제되었습니다. 하지만, 팔로우들의 수는 여전히 이상하리 만큼 많았습니다.
검색 엔진에서 클라우드 내 파일 검색 가능
클라우드 상의 사용자 및 파일들은 크롤링을 통하여 자동을 검색할 수도 있으며, 서드파티 검색엔진으로 검색할 수도 있습니다. 기자가 바이두에 "바이두 클라우드 검색"이라는 키워드로 검색하자 대량의 검색엔진 페이지들이 검색되었습니다. 이러한 검색페이지에서 키워드를 입력하면, 해당 키워드와 관련된, 바이두 클라우드 사용자들이 공유한 대량의 파일들이 검색되었습니다.
<이미지 출처 : http://news.163.com/17/0719/10/CPN0E92400018AOR.html>
기자는 "전화" "주소록"이라는 키워드로 검색을 시도했으며, 약 만개가 넘는 정보들이 검색되었으며, 그 정보들 중에는 "북경 기업 정보 22만개(기업명, 업계, 책임자, 전화번호 등)""안후이성 허페이 직업학교 임원 및 교사 연락처" 등도 포함되어 있었습니다. 하지만 만약 "차주" "신분증"등의 키워드로 검색했을 경우에는 "관련 법규에 의해 검색을 할 수 없습니다"라는 경고문이 나타났습니다.
이번 바이두 클라우드에서 이러한 대량의 정보들이 유출된 정황은 크게 두가지로 유추해 볼 수 있습니다. 첫번째는, 정보를 탈취한 누군가가 정보를 이동시키는 과정에서 공유를 하였을 경우, 두번째는 개인이나 기업, 기관들이 일상 업무 중 편의를 위하여 공유를 해 놓았는데, 이렇게 공유된 정보들이 검색될 수 있다는 위험성을 인지하지 못하는 경우입니다.
<이미지 출처 : http://news.163.com/17/0719/10/CPN0E92400018AOR.html>
바이두의 공식 입장
19일 오전 7시 10분, 바이두 클라우드는 공식 웨이보를 통하여 <바이두 클라우드 사용자들의 public 공유 링크에 관한 문제에 대한 설명>이라는 발표하였습니다. 바이두 클라우드, 사용자가 바이두 클라우드에 파일을 업로드 한 후 클라우드에 업로드 된 데이터들의 보안을 위하여 public 공유를 하지 말아야 한다고 당부하였습니다. 또한 private공유를 이용한다면 절대로 외부 검색엔진을 통하여 검색될 가능성도 없다고 밝혔습니다.
또한 사용자들의 데이터 보호와 개인정보 유출을 방지하기 위하여, 바이두 클라우드에 업로드 되어있는 파일을을 공유할 때 반드시 “암호화 공유”를 선택하는 것을 권장 한다고 밝혔습니다. 암호화 공유 기능을 통하여, 암호를 입력한 사람만 공유된 정보를 확인할 수 있는 것입니다.
또한 서드파티 검색엔진 퇴치를 위하여 노력할 것이라고 밝혔습니다.
출처 :
지금까지 발견된 악성앱 중 가장 많은 기능을 갖고 있는 안드로이드 백도어, 'GhostCtrl' (0) | 2017.07.20 |
---|---|
새로운 리눅스 악성코드, SambaCry 취약점 악용하여 NAS Device에 은밀히 백도어를 설치 (0) | 2017.07.20 |
CryptoMix 랜섬웨어 변종 2가지 발견 돼 (0) | 2017.07.19 |
Cisco WebEx 확장프로그램에서 또 다시 심각한 RCE 취약점 발견 돼 – 지금 당장 패치하세요! (0) | 2017.07.19 |
21년동안 커버로스(Kerberos)에 존재하던 취약점 패치! (1) | 2017.07.18 |
댓글 영역