크리덴셜 취급 부주의로 4,900만 이메일 주소 노출

49 Million Unique Emails Exposed Due to Mishandled Credentials

한 이스라엘의 마케팅 회사가 Elasticsearch 데이터베이스용 인증 크리덴셜 취급 부주의로 인해 4,900만 이메일 주소를 노출시켰습니다. 이 정보는 보호되지 않은 웹 서버에 평문 상태로 저장되어 있었습니다.

디지털 마케팅 회사인 Straffic은 이 사고가 서버 중 하나에 존재했던 “보안 취약점”으로 인한 결과라 밝혔습니다.

하지만 이 대규모 데이터베이스는 인증 단계를 설정한 후에도 여전히 위험한 것으로 나타났습니다.

예상 밖의 취약점

Straffic은 지난 수요일 “서비스를 제공하는데 사용하는 서버 중 하나에서 보안 취약점이 발견되었다”는 짤막한 메시지를 남겼습니다.

해당 서버는 이름, 전화 번호, 우편 번호 140GB를 포함하는 Elasticsearch 데이터베이스였습니다.

트위터 이름 0m3n을 사용하는 한 보안 연구원은 이 데이터베이스가 웹서버에 평문 상태로 저장된 것을 발견했습니다. 그는 스팸 메시지로 한 링크를 전달받은 후 웹서버를 확인하기로 마음먹었습니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/49-million-unique-emails-exposed-due-to-mishandled-credentials/>

0m3n은 AWS Elasticsearch 인스턴스를 가리키는 구성 텍스트 파일(.ENV)을 발견했다고 밝혔습니다. 해당 도메인은 더 이상 연결이 불가능했습니다.

. ENV 파일은 보통 Laravel PHP 웹 프레임워크의 애플리케이션을 테스트할 때 사용됩니다. 동기화 과정 중 git repo에 푸쉬되지 않아야 하므로 무시 리스트인 (.gitignore)에 추가됩니다.

0m3n은 개발자가 .gitignore 파일을 추가하는 것을 잊어버렸으며 웹 서버에 싱크된 상태였다고 밝혔습니다.

따라서 이 사건은 “보안 취약점”이 아닌 “잘못 구성된 웹 서버” 때문에 발생한 것이라 볼 수 있습니다.

0m3n은 웹서버에서 이러한 위험을 제거할 수 있도록 자동으로 배포 가능하도록 구현될 수 있는 많은 무료 자동화 검사가 있다고 밝혔습니다.

Troy Hunt는 Straffic의 데이터베이스 내 이메일 중 70%가 이미 데이터 유출 알림 사이트인 ‘Have I Been Pwned’에 저장되어 있었다고 밝혔습니다. 따라서 이 정보는 이전 유출 사건에서 가져온 것이 아니라는 것을 의미합니다.

<이미지 출처 : https://twitter.com/troyhunt/status/1233120027856912384>

Straffic은 현재 모든 시스템이 안전한 상태이며 데이터가 복사되었거나 잘못 사용되었다는 증거는 찾지 못했다고 밝혔습니다.

출처 : 

https://www.bleepingcomputer.com/news/security/49-million-unique-emails-exposed-due-to-mishandled-credentials/

https://www.bankinfosecurity.com/israeli-marketing-company-exposes-contacts-database-a-13785

https://straffic.io/updates.php