스캔된 운전면허증 5만 개 이상 온라인에서 발견돼

Security Researcher Discovers Over 50,000 Scanned Driver’s Licenses Exposed on Unsecured Amazon Server

 

호주 뉴 사우스 웨일스의 운전면허증 54,000개의 스캔본 및 다양한 통행료 법정 신고 통지서가 포함된 데이터가 유출된 것으로 나타났습니다.

 

보안연구원인 Bob Diachenko는 트위터를 통해 아래와 같이 밝혔습니다.

“운전면허증 5만 개 이상의 스캔본 (앞, 뒤 포함) 및 통행료 통지서가 잘못 구성된 S3 버킷을 통해 유출되었습니다. 이 데이터는 뉴 사우스 웨일즈의 도로 및 해양부(NSW RMS) 인프라의 일부인 것으로 보입니다. 하지만 아직까지 공식 답변을 받을 수 없었습니다.”

 

해당 데이터에는 생일, 집 주소, 운전면허번호가 포함된 뉴 사우스 웨일스의 운전면허증 앞, 뒷부분의 스캔본 이미지 108,535건이 포함되어 있었습니다.

 

통행료 법정 신고 통지서 또한 별도의 폴더에 저장되어 있었습니다. 이 문서는 아직 지불하지 않은 통행료 고지서에 대해 이의를 제기하고자 하는 운전자들이 작성한 것이며 성명, 전화번호, 주소를 포함한 통행 위반 차량을 운전 중이었던 사람의 기타 정보를 포함하고 있었습니다.

 

“발견한 모든 문서가 뉴 사우스 웨일스 지역과 관련이 있었으며 데이터의 주인이 누구인지에 대한 표시는 찾아볼 수 없었습니다.”

 

Diachenko는 이를 발견한 즉시 호주의 보안 연구원인 Troy Hunt에게 제보하였고 그는 곧 호주의 사이버 보안국에 신고했습니다.

 

현재 기관은 해당 서버를 다시 보호한 상태이며 뉴 사우스 웨일스의 정보 및 개인정보 보호 위원회와 함께 이 유출 사고를 조사하고 있습니다.

 

하지만 뉴 사우스 웨일즈의 교통 및 도로국은 이 유출 사고에 그들의 책임이 없다고 밝혀 명시되지 않은 서드파티 서비스를 통해 유출된 것으로 추측이 가능합니다.

 

“초기 정보는 노출된 AWS S3 버킷은 뉴 사우스 웨일즈 교통국이나 다른 정부 시스템과 전혀 관련이 없음을 나타냅니다.”

“면허 소지자는 민감 개인정보를 다른 곳에 제공할 때 개인정보 보호에 대해 주의를 기울이는 것이 좋습니다. 뉴 사우스 웨일즈의 교통국은 일부 서드파티 업체에서 사업 관행의 일부로 운전면허 관련 정보를 정기적으로 요청한다는 사실을 알고 있습니다.”

 

아직까지 해당 정보가 악용된 증거는 발견되지 않았습니다. 하지만 운전면허 정보가 유출된 사용자는 신원 도용을 당할 우려가 있기 때문에 운전면허를 재발급 받아 잠재적 사기 피해를 예방하는 것이 좋습니다.

 

 

 

 

출처:

https://hotforsecurity.bitdefender.com/blog/security-researcher-discovers-over-50000-scanned-drivers-licenses-exposed-on-unsecured-amazon-server-24038.html

https://twitter.com/MayhemDayOne/status/1298652152441843712