GitHub urges users to enable 2FA after going passwordless GitHub이 사용자들에게 Git 작업에 대한 비밀번호 기반 인증을 중단 후 2단계 인증(2FA)를 활성화 할 것을 촉구했습니다. GitHub의 최고 보안 책임자인 Mike Hanley는 아래와 같이 밝혔습니다. “아직까지 하지 않으셨다면 시간을 내어 GitHub 계정에 대한 이중 인증을 활성화 하시기 바랍니다. 다단계 인증의 이점은 널리 알려져 있으며, 피싱과 같은 광범위한 공격으로부터 계정을 보호합니다.” Hanley는 물리적 보안 키, 전화 기기, 랩탑에 내장된 가상 보안 키, TOTP(Time-based One-Time Password) 인증 앱을 포함한 GitHub에서 제공하는 여러 이중 인증..

국내외 보안동향 2021. 8. 19. 09:00

7-Eleven Japanese customers lose $500,000 due to mobile app flaw 해커가 7pay 앱 계정을 하이잭한 후 불법 요금을 청구해 세븐일레븐 일본의 고객 약 900명이 총 5,500만 엔(약 51만 달러)를 잃은 것으로 나타났습니다. 이 사건은 세븐일레븐 일본 측이 지난 7월 1일 론칭한 7pay 모바일 지불 앱의 설계상 발생하는 엄청난 보안 취약점 때문입니다. 7pay 모바일 앱은 고객이 세븐일레븐 카운터에 도착하면 폰 화면에 바코드를 보여주고, 구매 제품은 고객의 7pay 앱 또는 해당 계정에 저장된 고객의 신용 또는 직불 카드로 청구되도록 설계되었습니다. 이 앱에는 믿을 수 없는 패스워드 리셋 기능이 설계되어 있는데, 이를 통해 누구나 다른 사람의 계정에..

국내외 보안동향 2019. 7. 8. 10:07

G Suite users’ passwords stored in plain-text for more than 14 years 구글이 14년 동안 G Suite 사용자의 패스워드를 실수로 일반 텍스트 형태로 저장하고 있었던 것으로 나타났습니다. 심지어 회사의 모든 직원들이 이 데이터에 접근이 가능했습니다. 구글에 따르면, 이 사고는 패스워드 복원 메커니즘에 존재하는 버그로 인해 발생했으며, 엔터프라이즈 고객만 영향을 받았습니다. 구글은 블로그를 통해 기업 G Suite 고객의 일부 패스워드가 암호화된 내부 시스템에 해싱되지 않은 상태로 저장되어 있었다고 밝혔습니다. 이는 G Suite 이슈로 엔터프라이즈 고객에게만 영향을 미치며, 무료로 이용 가능한 구글 계정은 영향을 받지 않습니다. 또한 구글은 엔터프라이..

국내외 보안동향 2019. 5. 23. 09:49

Alipay에서 비밀번호를 변경할 수 있는 취약점 발견网传支付宝被曝光「熟人可以篡改密码」致命漏洞 금일(10일), Alipay 사용자의 친구가 본인의 계정으로 로그인하고, 은행카드와 암호 없이도 정상적으로 사용이 가능하다는 제보가 접수되었습니다. 현지시간 기준 오전 10시 38분, 재현이 안되어서 확인해본 결과, Alipay 측이 1차 패치를 진행한 것이 확인되었습니다. 이후 오전 12시 15분, 또 다른 사용자가 자주 사용하지 않는 디바이스를 통해 로그인에 성공한 정황이 밝혀졌습니다. 이는 Alipay가 디바이스와 ip체크를 진행하지 않는다는 의미입니다. 이 블로거는 랜덤으로 친구 몇명의 휴대폰으로 실험을 진행했습니다. 그 결과, 인터넷 환경에서 자주 사용하지 않는 디바이스로도 바로 비밀번호 질문이 발생하..

국내외 보안동향 2017. 1. 11. 13:32

드롭박스 해킹, 6,800만 계정 정보 온라인에 유출돼Dropbox Hacked — More Than 68 Million Account Details Leaked Online 지난 2012년 공격자가 온라인 클라우드 스토리지 플랫폼인 드롭박스에서 6,800만개 이상 계정의 크리덴셜을 손에 넣은 것으로 보입니다. 드롭박스 측은 유출 사실을 인정하고, 강제 패스워드 리셋과 관련하여 고객들에게 이미 공지한 상태입니다. 그러나 영향을 받은 사용자의 정확한 수는 공개하지 않았습니다. 이와 관련하여, Motherboard는 데이터베이스 거래 커뮤니티와 유출 알림 서비스 Leakbase에서 약 5기가의 파일을 입수했습니다. 여기에는 이메일 주소, 해싱 및 솔팅된 패스워드 포함 68,680,741개의 계정정보가 존재하..

국내외 보안동향 2016. 9. 1. 16:37

QRLJacking - 퀵 로그인 시스템 기반의 QR 코드 하이잭 테크닉QRLJacking — Hacking Technique to Hijack QR Code Based Quick Login System WeChat, Line, WhatsApp의 데스크탑 앱에 가장 빠르게 로그인 하는 방법은 무엇일까요?바로 QR 코드 기반의 승인 시스템인 SQRL(Secure Quick Response Login)을 사용하는 것입니다. 이 방법은 사용자가 계정이나 패스워드를 애써 기억하고 있거나, 입력하지 않아도 빠르게 사이트에 로그인 할 수 있도록 도와 줍니다. QR 코드는 공유 키나 세션 쿠키와 같은 엄청난 양의 정보를 포함한 2차원의 바코드입니다. QR 코드 기반의 승인 시스템을 사용하는 웹사이트들은 컴퓨터 스크린..

국내외 보안동향 2016. 8. 2. 15:13

안드로이드 누가(Nougat), 랜섬웨어의 기기 패스워드 리셋 예방 기능 추가Android Nougat prevents ransomware from resetting device passwords 안드로이드가 차기 버전에서 새로운 기능을 소개했습니다. 'resetPassword' API가 기기의 패스워드를 재설정할 수 없게 하는 기능으로, 모바일 랜섬웨어와 모바일 백신 모두에 영향을 미칠 것으로 보입니다. 지난 2015년 말 새로운 기능이 추가된 Android.Lockdroid.E의 변종이 발견되었습니다. 이 변종들은 시스템 에러 그래픽 UI를 이용해 사용자를 위협하고, 기기 잠금을 푸는 패스워드를 리셋시킵니다. 사용자들은 악성코드가 바꿔놓은 비밀번호를 알아낼 수 없기 때문에 공장 초기화를 할 수밖에 없..

국내외 보안동향 2016. 7. 6. 16:47

PETYA 랜섬웨어 언락(Unlocked)! 파일 해독에 필요한 패스워드 생성 가능해진다PETYA Ransomware Unlocked, You Can Now Recover Password Needed for Decryption PETYA 랜섬웨어에 감염된 사용자들에게 좋은 소식입니다. 두 명의 보안 연구원들이 PETYA 랜섬웨어로부터 암호화된 파일을 해독하는데 필요한 패스워드를 생성하는 온라인 서비스 및 데스크탑 툴을 제작 및 공개했습니다. 트위터에서 Leo Stone이란 필명으로 활동하는, 신원을 공개하지 않기를 바라는 이 연구원은 유전 알고리즘(genetic algorithm)을 통해 이 랜섬웨어를 해킹하는 방법을 발견해냈습니다. 또한 피해자들이 복호화 패스워드를 얻을 수 있는 웹사이트도 제작했습니다..

국내외 보안동향 2016. 7. 4. 17:10