Alipay에서 비밀번호를 변경할 수 있는 취약점 발견
网传支付宝被曝光「熟人可以篡改密码」致命漏洞
금일(10일), Alipay 사용자의 친구가 본인의 계정으로 로그인하고, 은행카드와 암호 없이도 정상적으로 사용이 가능하다는 제보가 접수되었습니다.
<이미지 출처 : http://bobao.360.cn/news/detail/3920.html>
현지시간 기준 오전 10시 38분, 재현이 안되어서 확인해본 결과, Alipay 측이 1차 패치를 진행한 것이 확인되었습니다. 이후 오전 12시 15분, 또 다른 사용자가 자주 사용하지 않는 디바이스를 통해 로그인에 성공한 정황이 밝혀졌습니다. 이는 Alipay가 디바이스와 ip체크를 진행하지 않는다는 의미입니다.
<이미지 출처 : http://bobao.360.cn/news/detail/3920.html>
<이미지 출처 : http://bobao.360.cn/news/detail/3920.html>
이 블로거는 랜덤으로 친구 몇명의 휴대폰으로 실험을 진행했습니다. 그 결과, 인터넷 환경에서 자주 사용하지 않는 디바이스로도 바로 비밀번호 질문이 발생하는 것을 확인할 수 있었습니다.
이번 현상에 대하여 Alipay측은 다음과 같이 공식 입장을 표명했습니다.
우리는 최근 사용자들에게 알만한 친구, 혹은 최근 구매한 상품들을 통하여 Alipay의 계정 비밀번호를 찾아낼 수 있다는 제보를 받았습니다.
하지만 이런 현상은 매우 특수한 조건에서만 재현됩니다. 일반적인 상황에서 사용자가 비밀번호를 찾기 위해서는 최소한 휴대폰 번호를 입력한 후 인증번호를 받아야 합니다. 잠시 문자메세지를 수신하지 못하는 일부 사용자 혹은 통신사를 이동한 사용자는 위험관리 시스템을 통해 확인(예를들어, 계정정보 입력의 완성도 혹은 네트워크 환경 등의 요인)을 거칩니다. 이후 보안지수가 높다고 판단되는 경우에 한하여, 사용자가 과거에 설정한 보안 질문이 보이게 되며, 질문에 대한 답을 맞춰야만 비밀번호를 수정할 수 있습니다.
이런 일련의 과정은 모두 계정 비밀번호 찾기만 가능하며, 보안질문을 통해서 결제 비밀번호를 확인할 수 없습니다. 또한 사용자의 Alipay가 다른 디바이스에서 로그인이 되었을 경우, 원래 디바이스로 알림이 가게 되어 있습니다.
우리는 사용자 여러분들의 피드백을 받고 보안을 향상하고자 위험관리시스템의 보안등급을 향상시켰습니다. 현재 본인 휴대폰에서만 최근 구매상품 및 알만한 친구 등을 이용하여 로그인 비밀번호를 찾을 수 있으며, 다른 디바이스를 통해서는 해당 방식을 통해 비밀번호를 찾는 것이 불가능하도록 설정했습니다.
이러한 보안문제에 대한 피드백 감사드리며, 여러분들의 피드백을 통하여 더욱 발전하는 모습을 보여드리겠습니다.
그러나 Alipay는 2015년 7월에도 비슷한 사건으로 논란이 된 적이 있었습니다. 당시에도 관련 현상에 대한 자세한 설명을 통해 위험관리시스템은 매우 복잡하며 또 안전하다고 밝혔습니다. 이에 대해 일각에서는 다음과 같은 평가를 내리고 있습니다.
"Alipay의 로직 : 부자 = 좋은사람, 익숙한 사람 = 좋은사람"
다음은 해당 취약점을 확인하는 방법입니다.
1. Alipay의 로그인 창을 띄운 후, ID를 입력하고 비밀번호 찾기를 클릭합니다.
<이미지 출처 : http://bobao.360.cn/news/detail/3920.html>
2. 계정을 입력한 후, 바로 SMS 수신 불가를 클릭합니다.
<이미지 출처 : http://bobao.360.cn/news/detail/3920.html>
3. 여러 인증 방식 중 ‘알고있는 사람’으로 인증하는 방식을 선택합니다.
<이미지 출처 : http://bobao.360.cn/news/detail/3920.html>
4. 비밀번호를 수정합니다.
<이미지 출처 : http://bobao.360.cn/news/detail/3920.html>
비밀번호 수정 후에는 바로 로그인이 가능합니다. 이후 비밀번호 없이 결제를 포함한 모든 기능을 정상적으로 사용할 수 있습니다.
정상 로그인 화면
<이미지 출처 : http://bobao.360.cn/news/detail/3920.html>
출처 :
http://bobao.360.cn/news/detail/3920.html
ElTest 멀웨어 캠페인 전략 변경, 게이트 사용 및 난독화 중단해 (0) | 2017.01.16 |
---|---|
몸값으로 $250,000를 요구하지만, 파일은 복호화하지 않는 리눅스용 랜섬웨어 KillDisk 발견 (0) | 2017.01.11 |
일주일동안 27,000개 이상의 MongoDB가 랜섬웨어에 감염돼 (0) | 2017.01.10 |
일본 국내 보안 시장 ,전년대비 4.0% 증가한 2,807억엔, 2020년에는 3,359억엔 규모 예상 (0) | 2017.01.09 |
SwiftMailer, PhpMailer, ZendMail에서 RCE 결점 발견돼 (0) | 2017.01.06 |
댓글 영역