Leakedsource도 해킹당해... 사용자 각별 주의!

Leakedsource도 해킹당해... 사용자 각별 주의!

Leaksource.com breach exposes site logging searches

최근 전세계적으로 해킹 공격을 당해 정보가 유출되는 사건이 빈번히 일어나고 있습니다. 이에 더해, 해킹 공격을 통해 유출된 데이터를 공개하는 Leakedsource 홈페이지도 나타났습니다. 

Leakedsource는 웹서버로 서버가 제공하는 API 인터페이스를 통해 웹서버의 DB들을 검색할 수 있습니다. 해당 웹서버에는 200만개의 DB, 22.9억개가 넘는 데이터 레코드가 존재한다고 알려졌으며, 이 DB의 숫자는 계속해서 늘어나고 있습니다.

2016년 10월 11일, 해당 웹서버에 업데이트된 최근 20개의 홈페이지 DB들을 정리하면 다음과 같습니다. 

Evony.com (Main) - 33,407,472 users

Zynga.com (Community) - 4,932,930 users

PakWheels.com - 674,775 users

GameVN.com - 1,373,412 users

Devil-Group.com - 29,689 users

RPG.net - 132,430 users

FeverClan.com - 58,259 users

PngClub.com - 198,993 users

ATBForum.com - 154,806 users

AarinFantasy.com - 434,851 users

FijiLive.com - 143,026 users

ExileMod.com - 71,223 users

ComicBook.com - 52,734 users

Trillian.im - 78,887 users

QIP.ru - 33,383,392 users

Rambler.ru - 98,167,935 users

Btc-E.com - 568,355 users

BitcoinTalk.org - 499,593 users

Last.fm - 43,570,999 users

Dropbox.com - 68,680,737 users

한편 최근 Leakedsource홈페이지가 사이버 공격자들로부터 공격을 받았습니다. 이번 공격은 Leakedsource.com이 충분한 보안조치를 취하지 않아 발생한 것으로 보이며, 두 대의 서버에서 정보가 유출된 것으로 확인되었습니다. 

사용자 Chris Poole(@codingplanets)는 pastebin에 Operation LeakedSource라는 글을 업로드했습니다. 해당 게시글에는 자신이 Leakedsource.com의 서버 두 대를 해킹했다고 밝힌 내용이 있습니다. 그가 네트워크를 확인한 결과, Leakedsource 웹페이지는 사용자의 검색로그를 저장하는 것을 허용하고 있었으며, 홈페이지 결제서비스에도 보안 취약점이 있다고 밝혔습니다.

pastebin의 글은 2016년 10월 10일 게시되었으며, 해당 글에는 이 공격자가 어떤 방법으로 Leakedsource.com 시스템을 해킹했는지, 어떻게 DB에 저장된 정보들을 획득했는지에 대한 내용이 상세히 정리되어 있습니다. 이밖에도 공격자는 그가 획득한 데이터들의 일부분을 공유하였으며, 전체 공격 과정에 대한 자신의 의견도 남겼습니다.

공격 과정

공격 과정은 NMAP을 이용한 포트스캐닝부터 시작되었습니다. 

공격자는 오픈된 포트를 확인한 후, 해당 포트의 SSH 비밀번호에 dictionary attack을 진행하였습니다. 몇시간 후 비밀번호를 성공적으로 크랙하였으며, Chris는 손쉽게 해당 웹서버에 접근 권한을 획득하였습니다. 

그 후 Chris는 서버에 저장되어 있는 MySQL DB를 검색했으며, 성공적으로 30여만 명의 회원정보(이메일, 비밀번호, 사용자 이름, 최근 로그인 시간, 회원 등급 등)가 들어있는 DB들을 찾았습니다. 해당 정보들은 모두 다운로드가 가능했습니다.

공격자는 처음 서버 침투를 성공하였을 때 "cd"명령으로 서버의 databases 목록 하의 데이터들이 리스팅되는지 시도했습니다. 그러자 서버가 다운되었습니다. 이는 일반적으로 대량의 데이터를 가진 시스템에서는 매우 흔한 일입니다. 이밖에도 WinSCP를 통해 DB를 export했고, 12시간 동안 약 9%의 DB를 export했다고 밝혔습니다. 이는 해당 웹페이지에 방대한 양의 DB가 있다는 것을 의미합니다. 

또한 그는 Leakedsource.com이 지속적으로 사용자의 모든 검색로그를 기록하고 있었다고 밝혔습니다. 이러한 소식은 사용자를 크게 분노하게 만들며 논란을 불러일으킬 것으로 예상됩니다. 그러나 이미 해당 기록은 공격자가 "rm -rf d"로 모두 삭제했습니다. 몇분 후, Chris는 해당 홈페이지 웹서버에서 저장된 로그들을 google 서버로 보내는 것을 확인했습니다. 그는 이미 획득한 계정을 통해 google 서버에 접근을 시도하였으며, 결과는 성공적이었습니다.

이번 공격 과정 중, Chris는 gerp명령어를 통해 매우 중요한 것을 발견했습니다. 해당 시스템은 보안메커니즘이 취약할 뿐만 아니라, 결제 시스템에도 보안 취약점이 존재하고 있었습니다.

출처 :

https://www.cyberwarnews.info/2016/10/12/leaksource-com-breach-exposes-site-logging-searches-2/