보안 / 프라이버시

세계 최대의 성인 사이트 프렌드파인더, 해킹 당해 4억 1,200만 계정 유출

Steve Ragan | CSO 2016.11.14
펜트하우스를 위시한 어덜트프렌드파인드, 캠스, 아이캠스, 스트립쇼 등 여러 성인 사이트가 해킹당했다.


Credit: AdultFriendFinder

지난 10월, 전세계에서 가장 큰 성인 기반의 소셜 웹사이트들의 모기업인 프렌드파인더 네트웍스(FriendFinder Networks)의 6개 데이터베이스가 해킹 당한 이래로 4억 건 이상의 정보들이 온라인 사이트에 배회하고 있다.

유출 공지 웹사이트인 리크드소스(LeakedSource)는 13일 6개의 해킹당한 데이터베이스에서 나온 4억 1,221만 4,295개의 계정을 완전히 공개했다. 이 유출 정보는 대부분 어덜트프렌드파인더(AdultFriendFinder)의 것이다.

일부 기록에 있는 시각표에 따르면, 가장 최근 로그인 기록이 10월 17일인 것을 볼 때, 이 사건은 2016년 10월 20일 이전에 발생한 것으로 보인다. 또한 이 시각표는 프렌드파인더 네트웍스 사건이 어떻게 발생했는지 어느 정도 확인시켜준다.

2016년 10월 18일 트위터에서 1x0123이라는 이름의 한 연구원은 어덜트프렌드파인더 웹사이트 내 LFI(Local File Inclusion) 취약점에 대해 경고하면서 그 증거로 스크린 샷을 게재했다.

본지가 이 문제에 대해 리볼버(Revolver)라는 단체의 일원인 1x0123에게 직접 질문을 했을 때 LFI는 어덜트프렌드파인더 프로덕션 서버의 한 모듈에서 발견됐다고 말했다.

LFI를 발견한 후 오래지 않아 리볼버는 트위터를 통해 이 문제를 해결했으며 그들의 사이트에는 고객 정보가 없다고 공지했다. 프렌드파인더 네트웍스 부사장이자 수석 법무 자문인 다이아나 린 벌루는 이 사건에 대해 직접 설명하기도 했다.

리볼버의 주장에도 불구하고 2016년 10월 20일 본지의 기자는 프렌드파인더 네트웍스가 해킹당해 1억 이상의 계정이 유출됐을 지 모른다는 사실을 처음으로 보도했다.

유출된 것은 데이터베이스뿐만 아니라 비대칭 키 쌍(public/ private key-pairs)과 같은 프렌드파인더 네트웍스의 프로덕션 환경에서의 소스코드가 공공리에 유출됐다. 이는 이 조직이 여러 곳의 데이터를 유출했다는 것을 의미한다.

프렌드파인더 네트웍스는 사건의 원인과 같은 추가적인 내용을 전혀 제공하지 않았다. 심지어 추가적으로 기록과 소스코드가 공공리에 돌아다님에도 불구하고 어떠한 공식 성명도 발표하지 않았다.

프렌드파인더 네트웍스 데이터 유출은 초기에 추정된 바와 같이 1억 개 이상의 계정이다.

리크드소스에 의해 등재된 데이터베이스의 규모를 기반으로 파악한 결과, 다른 온라인사이트에 의해 만들어져 제공된 것은 2,000만~7,000만 정도이며 대다수가 어덜트파인드파인더(AdultFriendFinder.com)로부터 나온 것이다. 이는 여러 온라인 사이트에 존재한 기록이었다는 것이다. 그들은 이 데이터에 관심있는 사람들에게 팔거나 공유했다.

11월 13일 리크드소스는 최종적으로 4억 1,200만 개의 사용자 계정이 유출됐음을 보도하면서 이번 프랜드파인더 네트웍스 유출 사건은 지난 5월 마이스페이스(MySpace)가 3억 6,000만 계정을 유출한 것을 능가한 2016년 가장 큰 사건이 됐다고 밝혔다.

프렌드파인더가 데이터를 유출한 것은 이번이 처음이 아니다. 2015년 5월 프렌드파인더는 사용자들의 계정 정보 350만 개를 해킹당한 바 있다.

리크드소스에 공개된 기록들은 다음과 같다.
- 불륜조장 사이트 어덜트프렌드파인더(AdultFriendFinder.com): 3억 3,977만 4,493개
- 포르노 사이트 캠스닷컴(Cams.com): 6,266만 8,630개
- 성인 잡지 사이트 펜트하우스(Penthouse.com): 717만 6,877개
- 아마추어 포르노 사이트 아이캠스(iCams.com): 113만 5,731개
- 라이브 캠 사이트 스트립쇼닷컴(Stripshow.com): 142만 3,192개
- 알려지지 않은 도메인: 3만 5,372개

모든 데이터베이스에는 사용자 이름과 이메일 주소, 그리고 평문 또는 SHA1을 사용해 해시된 비밀번호가 포함되어 있다. 이렇게 비밀번호 형태가 다르게 존재하는 이유는 명확하지 않다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.