상세 컨텐츠

본문 제목

700만 Robinhood 사용자의 이메일 주소, 해킹 포럼에서 판매돼

국내외 보안동향

by 알약4 2021. 11. 16. 09:00

본문

7 million Robinhood user email addresses for sale on hacker forum

 

최근 데이터 유출 사고가 발생해 도난당한 Robinhood 사용자 약 700만명의 데이터가 유명 해킹 포럼 및 마켓에서 판매되고 있었던 것으로 나타났습니다.

 

지난 주 Robinhood는 직원 중 한 명이 해킹을 당한 후 데이터 유출이 발생했다고 밝혔으며, 고객은 해당 계정을 통해 고객 지원 시스템에 접근해 약 700만 고객의 정보에 접근한 것으로 드러났습니다.

 

공격 중에 도난당한 데이터에는 아래와 같은 Robinhood 사용자의 개인 정보가 포함됩니다.

 

- 500만 고객의 이메일 주소

- 또 다른 고객 200만명의 성명

- 300명의 이름, 생년월일, 우편번호

- 10명의 자세한 계정 관련 정보

 

Robinhood는 데이터를 훔치는 것 이외에도 회사에 데이터를 공개하겠다고 협박하여 추가적으로 강탈을 시도했다고 밝혔습니다.

 

훔친 이메일 주소들 중 특히 금융 서비스용 주소는 타깃 피싱 공격에 사용되어 보다 민감한 데이터를 훔칠 수 있기 때문에 많은 공격자에게 특히 인기가 있는 편입니다.

 

도난당한 Robinhood 데이터, 해킹 포럼에서 판매돼

 

Robinhood에서 공격 받은 사실을 공개한 지 이틀 후, 'pompompurin'이라는 공격자가 해킹 포럼에서 데이터를 판매한다고 공지했습니다.

 

그는 포럼 게시물을 통해 훔친 로빈후드 고객 700만명의 정보를 최소 1만 달러 이상에 판매하고 있다고 밝혔습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/7-million-robinhood-user-email-addresses-for-sale-on-hacker-forum/>

<도난당한 Robinhood 데이터를 판매하는 위협 행위자>

 

 

판매된 데이터에는 이메일 주소 500만건, 또 다른 Robinhood 고객 200만 명의 이메일 주소 및 이름이 포함되어 있습니다. 하지만 pompompurin은 일부 사용자의 신분증 포함 더 민감한 정보를 도난당한 고객 310명의 데이터는 판매하지 않는다고 밝혔습니다.

 

Robinhood 측에서는 처음에 ID 카드가 도난당한 사실을 공개하지 않았습니다. 하지만 공격자는 KYC(Know Your Customer) 요구 사항을 수행 시 거래 플랫폼에서 사용하는 보안 파일 전송 서비스인 SendSafely를 통해 다운로드 했다고 밝혔습니다.

 

RobinhoodBleepingComputer 측에 아래와 같이 밝혔습니다.

 

"118일에 공개한 바와 같이, 우리는 데이터 보안 사고 겪었으며 약 10명의 고객의 더 광범위한 개인 정보와 자세한 계정 정보가 공개되었습니다."

 

"10명 중 일부의 사진 또한 유출되었습니다. 다른 금융 서비스 회사와 마찬가지로 우리는 규제에서 요구하는 KYC(Know Your Customer)의 일환으로 일부 고객의 사진을 수집 및 보관합니다."

 

pompompurin은 헬프 데스크 직원을 속여 컴퓨터에 원격 접속 소프트웨어를 설치하도록 한 후 Robinhood 고객 지원 시스템에 접근할 수 있었다고 밝혔습니다.

 

원격 접속 소프트웨어가 기기에 설치되면 공격자는 자신의 활동을 모니터링하고, 스크린샷을 찍고, 컴퓨터에 원격으로 접근할 수 있습니다. 또한 장치를 원격으로 제어하는 ​​동안 공격자는 직원의 저장된 로그인 크리덴셜을 사용하여 해당 계정에 접근 권한이 부여된 내부 Robinhood 시스템에 로그인할 수도 있습니다.

 

Robinhood는 직원의 기기를 어떻게 해킹했는지에 대한 설명으로 "전화를 통해 고객 지원 직원에 사회 공학적수법을 사용했다고 밝혔습니다. 그러나 그들은 BleepingComputer 측에 공격에 악성코드를 사용하지 않았다고 밝혔습니다.

 

pompompurin은 그가 공격을 수행했다는 증거로 내부 Robinhood 시스템에 접근한 스크린샷을 공개했습니다.

 

이 스크린샷에는 이메일로 Robinhood 멤버를 찾는데 사용하는 내부 헬프 데스크 시스템이 포함되어 있었습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/7-million-robinhood-user-email-addresses-for-sale-on-hacker-forum/>

<내부 회원의 메모를 보여주는 스크린샷의 일부>

 

  

BleepingComputer는 데이터가 판매되고 있다는 사실을 발견한 후 Robinhood에 연락해 해당 스크린샷이 그들의 시스템의 것인지 확인을 요청했습니다.

 

Robinhood 측은 해당 스크린샷이 그들의 시스템의 것인지 확인하지는 않았지만, 스크린샷에 포함된 개인 정보를 가려줄 것을 요청했습니다. 따라서 공격 도중 찍혔을 가능성이 높을 것으로 추측할 수 있습니다.

 

공격자, 최근 발생한 FBI 해킹의 범인과 동일해

 

이 사건의 공격자인 pompompurin은 주말 동안 FBI의 이메일 서버를 악용하여 협박 메일을 보냈던 것으로 나타났습니다.

 

이번 주말, 미국 기업들은 FBI의 인프라에서 보낸 이메일을 수신하기 시작했습니다. 이메일은 수신자의 "가상화된 클러스터" "정교한 사슬 공격"의 타깃이 되고 있다고 경고했습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/7-million-robinhood-user-email-addresses-for-sale-on-hacker-forum/>

<주말 동안 발송된 가짜 FBI 경고 이메일>

 

 

PompompurinFBI 소유의 IP 주소에서 이메일을 보내기 위해 FBI LEEP(Law Enforcement Enterprise Portal)에서 발견한 버그를 악용했습니다.

 

해당 이메일이 FBI 소유의 IP 주소에서 발송되었기 때문에, FBI는 이 가짜 경고에 대한 제보 전화에 시달려야 했습니다.

 

FBI는 공격을 발견한 후 문제를 해결하기 위해 연결된 서버를 오프라인으로 전환했습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/7-million-robinhood-user-email-addresses-for-sale-on-hacker-forum/

관련글 더보기

댓글 영역