포스팅 내용

국내외 보안동향

중국의 온라인 판매 사이트인 LightInTheBox.com의 서버 로그 1.3TB 노출돼

Chinese e-commerce site LightInTheBox.com bared 1.3TB of server logs, user data and more


보안 연구원들이 중국의 온라인 판매 웹사이트인 LightInTheBox.com의 웹 서버 로그 데이터 1.3TB가 유출된 것을 발견했습니다. 


VPN 비교 사이트인 VPNmentor의 연구 팀인 Noam Rotem과 Ran Locar는 지난 11월 말 이 유출 사고를 발견했습니다. 


해당 데이터는 “보호되지 않았으며, 암호화되지도 않은 채” 일반적인 웹브라우저에서 접근이 가능했으며, 엘라스틱서치 데이터베이스에도 보관되어 있었습니다. 


“우리가 발견한 데이터베이스는 2019년 8월 9일 ~ 10월 11일 사이의 해당 사이트 내 페이지 요청 히스토리, 사용자 활동 등이 포함된 웹 서버 로그였습니다.” 


연구원들은 이 데이터베이스에 저장된 항목은 약 15억 개인 것으로 보인다고 밝혔습니다. 


이 서버 로그는 사용자 이메일 주소, IP 주소, 거주 국가, 각 방문자가 열람한 LigntInTheBox.com 페이지와 같은 정보를 포함하고 있었습니다. 또한 MiniInTheBox.com를 포함한 자회사 사이트 다수의 데이터도 영향을 받았습니다. 


LightInTheBox는 가젯, 소형 전자 제품, 의류, 작은 액세서리 등을 판매하는 일반적인 온라인 소매점입니다. 이 사이트에서 홈페이지 아래쪽의 스폰서 링크를 제외하고는 중국 사이트라는 단서를 거의 찾아볼 수 없었습니다.


The Register 측에 공유된 코드 일부분에서는 사용자의 이메일 주소가 어떻게 노출되었는지 확인할 수 있었습니다.


<이미지 출처: https://www.vpnmentor.com/blog/report-lightinthebox-leak>


LightInTheBox.com는 해당 사이트의 방문자가 한 달에 약 1,200만 명에 달한다고 밝혔습니다. 


“이 사건을 통해 민감한 사용자 데이터는 유출되지 않았지만, 기본적인 보안 장치 조차 없었던 것으로 나타났기 때문에 LightinTheBox의 데이터 보안 관련 중대 과실이라고 생각합니다. 지금은 블랙 프라이데이, 사이버 먼데이, 크리스마스 등 온라인이 매우 활발한 시기입니다. 사용자 식별 정보는 포함되지 않았지만, 이 정도 규모 유출 사건은 기업과 고객에게 위협이 될 수 있습니다.” 


공격자는 사용자의 이메일 주소와 정확한 브라우징 히스토리를 이용하여 타깃 피싱 이메일을 만들어낼 수 있습니다. 예를 들어, LightInTheBox에서 보낸 이메일로 위장하여 이미 본 제품에 대한 할인을 제공한다는 가짜 메시지를 보낼 수 있게 됩니다. 


LightInTheBox는 “사용자의 개인 정보를 보호하는 것을 염두에 두고 설계되었지만, 100% 안전한 보안은 온라인과 오프라인 어디에도 존재하지 않는다는 사실을 기억하시기 바랍니다.”라고 밝혔습니다. 


LightInTheBox는 연구원들에게 응답하지는 않았지만, 제보를 받은 후 데이터베이스 노출이 중지되었습니다.




출처 : 

https://www.theregister.co.uk/2019/12/16/lightinthebox_data_breach_1_5bn_customer_records/

https://www.vpnmentor.com/blog/report-lightinthebox-leak./

티스토리 방명록 작성
name password homepage