상세 컨텐츠

본문 제목

Amex 인도 고객 689,272명의 기록, 일반 텍스트 형태로 온라인에 노출 돼

국내외 보안동향

by 알약(Alyac) 2018. 11. 9. 15:20

본문

689,272 plaintext records of Amex India customers exposed online


American Express (AMEX) 인도 고객 약 70만명의 개인 정보가 안전하지 않은 MongoDB 서버를 통해 온라인에 유출 되었습니다.


이 거대한 데이터는 사이버 보안 회사인 Hacken의 Bob Diachenko가 발견했습니다. 대부분의 기록들은 암호화 된 상태였으나, 689,272개 기록은 일반 텍스트 형태로 저장된 상태였습니다.


이 연구원은 Shodan, BinaryEdge.io 등과 같은 IoT 검색 엔진을 통해 이 데이터베이스를 발견했습니다.


“저는 10월 23일 이 보호 되지 않은 MongoDB를 발견했습니다. 여기에 포함 된 수 백만 건의 기록은 열람, 편집이 가능했으며 취약점을 발견한 누구라도 이 기록에 접근할 수 있었습니다. 이 기록은 American Express 인도의 기록인 것으로 보입니다.”


일반 텍스트 기록 689,272건에는 전화번호, 이름, 이메일 주소, 카드 유형 등 Amex 인도 고객의 개인 정보가 포함 되어 있었습니다.


또한 이 아카이브에는 암호화 된 데이터 (이름, 주소, 아달 번호, PAN 카드 번호, 전화 번호 등) 2,332,115건이 포함 되어 있었습니다.


“자세한 조사 결과, 이 데이터베이스는 Amex가 관리하는 것이 아니라 SEO 또는 lead generation 담당인 하청 업체가 관리하는 것으로 추측 됩니다.”


Diachenko는 Amex 인도 측에 이 사실을 알렸으며, 회사는 즉시 이 서버를 중단시켰습니다. 현재까지 해당 서버가 얼마나 긴 시간동안 노출 되었는지는 알 수 없었지만, Amex 인도는 “승인 되지 않은 접근이 있었다는 증거”는 발견할 수 없었다고 밝혔습니다.


출처:

https://securityaffairs.co/wordpress/77815/data-breach/amex-india-data-leak.html



관련글 더보기

댓글 영역