Yandex Employee Caught Selling Access to Users' Email Inboxes
러시아와 네덜란드의 검색 엔진, 차량 호출, 이메일 서비스 제공 업체인 Yandex가 지난 금요일 사용자의 이메일 계정 4,887개에 영향을 미친 데이터 유출 사고를 공개했습니다.
회사는 해당 사고가 발생한 이유로 한 직원이 개인의 이득을 위해 사용자의 메일함에 대한 접근 권한을 타인에게 제공하고 있었기 때문이라 밝혔습니다.
Yandex는 이에 대해 아래와 같이 밝혔습니다.
“해당 직원은 서비스 내 기술 지원을 제공하기 위해 필요한 권한에 접근이 가능한 시스템 관리자 3명 중 한 명이었습니다.”
회사는 보안 팀이 정기적으로 시스템을 감사하던 중 이 보안 사고를 발견했다고 밝혔습니다. 또한 사고로 인해 사용자의 결제 정보가 해킹되었다는 증거는 없었으며, 영향을 받은 메일함의 사용자들에게 비밀번호를 변경하도록 알렸다고 밝혔습니다.
사고가 발생한 시기, 직원이 제 3자에게 무단 액세스를 제공하기 시작한 시기는 아직까지 명확히 밝혀지지 않았습니다.
회사는 아래와 같이 밝혔습니다.
“이 사건에 대한 철저한 내부 조사가 진행 중이며, Yandex는 관리 액세스 절차를 변경할 예정입니다.”
“이로써 추후 개인이 사용자 데이터의 보안을 손상시킬 수 있는 잠재적 가능성을 최소화 할 것입니다. 또한 현재 법집행부에도 이 사건을 신고한 상태입니다.”
계속해서 발생되는 기업 내 내부자 위협
내부자로 인한 사고로 기업에 재정 및 평판에 손상을 입힌 것은 이번이 처음은 아닙니다.
지난달, 댈러스에 거주하는 ADT 기술자인 35살의 Telesforo Aviles는 그가 설치한 고객의 카메라에 침투해 성행위 등을 촬영하여 컴퓨터 사기 및 침습적인 영상 녹화 혐의로 유죄를 선고받았습니다. 그는 2020년 4월 회사에서 해고되었습니다.
지난 12월, 전 Cisco 엔지니어인 31살의 Sudhish Kasaba Ramesh는 허가 없이 16,000 Webex 계정을 삭제한 혐의로 24개월 형을 선고받았습니다. 이 사고로 인해 회사는 직원 근무 시간으로 $140만 달러, 고객 환불에 $100만 달러로 총 $240만 달러 이상의 비용을 지출했습니다.
작년 10월, 아마존은 고객의 이름과 이메일 주소를 제 3자에 공유한 한 직원을 해고했습니다.
또한 2019년 11월 사이버 보안 회사인 트렌드 마이크로는 악의적인 직원이 68,000명의 고객 데이터를 악성 사이버 범죄자에게 판매했다고 밝혔습니다.
출처:
https://thehackernews.com/2021/02/yandex-employee-caught-selling-access.html
https://yandex.com/company/press_center/press_releases/2021/2021-12-02
SolarWinds 공격에 사용된 악성코드, 1,000명이 넘는 개발자의 작업으로 밝혀져 (0) | 2021.02.16 |
---|---|
페이팔, 사용자 지갑의 환율 계산기의 XSS 취약점 수정 (0) | 2021.02.15 |
CD Projekt Red, HelloKitty 랜섬웨어 공격받아 (0) | 2021.02.10 |
어도비, 실제 악용되는 치명적인 Reader 취약점 수정 (0) | 2021.02.10 |
미국 플로리다 주의 식수 화학 물질 수치 수정돼 (0) | 2021.02.09 |
댓글 영역