Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안 / 클라우드

보안 연구원, “드롭박스는 데이터 도둑들의 천국이었다”

Tim Greene  | Network World 2011.08.18
클라우드 스토리지 제공업체인 드롭박스(Dropbox)가 보안 연구원들이 찾아낸 세 개의 공격방법으로 무단 접근이 가능했던 것으로 나타났다. 현재 드롭박스는 이 취약점을 수정한 상태다.
 
이런 방법을 통해서 드롭박스에서 데이터를 훔치는 것뿐만 아니라, 몰래 무제한으로 문서를 저장하고 검색할 수 있는 장소로 사용될 수 있었다. 
 
USENIX 시큐리티 심포지움(USENIX Security Symposium)의 연구원들은 지난 해 드롭박스를 공격할 수 있는 익스플로잇을 개발하고, 이 내용을 드롭박스에게 전달해 익스플로잇을 공개하기 전에 수정할 시간을 주었다고 밝혔다.
 
첫 번째 방법은 드롭박스의 클라우드에 저장되어 있는 데이터를 감별해내는 해시 값을 속이는 것이다. 드롭박스는 데이터가 클라우드에 저장되어 있는지 이 값을 검토하고, 그렇다면 해시를 보낸 사용자 계정과 연결해 준다.
 
해시를 속여서 드롭박스의 다른 고객 데이터에 접근할 수 있는 권한을 얻어냈으며, 이렇게 되면 해당 데이터 주인은 어떤 일이 일어났는지 알 수 없다고 설명했다.
 
두 번째 공격은 드롭박스가 고객별로 사용자 명, 시간, 날짜 등으로 생성한 호스트 ID를 알아낼 필요가 있다. 공격자가 피해자의 호스트 ID를 획득하면, 이것을 자신의 것으로 대체할 수 있으며, 계정을 다시 동기화 시키면 피해자의 모든 파일을 다운로드 할 수 있다.
 
세 번째 공격 방법은 드롭박스 고객이 특정 URL에서 SSL을 통해 파일을 요청할 수 있게 하는 기능을 악용한 것이다. 공격에 필요한 것은 데이터의 해시 값과 유효한 호스트 ID인데, 해당 데이터와 연결된 호스트 ID가 꼭 필요한 것은 아니라 다른 모든 유효 호스트 ID면 된다.
 
그러나 마지막 공격 방법은 데이터와 요청한 계정의 ID가 부합하지 않을 경우 드롭박스에 추적당할 수 있다.
 
이 세 가지 공격방법은 모두 드롭박스를 사용하는 기업의 데이터를 훔치는데 이용할 수 있다. 데이터를 모두 훔치는 것이 아니라, 원하는 데이터의 해시 값만 가지면 되기 때문에 공격자들에게는 훨씬 간편하다. 
 
또한, 드롭박스의 클라우드 내에서 데이터를 숨기는데도 이런 공격 방법을 이용할 수 있다. 수정된 드롭박스 클라이언트를 이용하면 공격자의 계정에 연결하지 않아도 무제한으로 클라우드에 데이터를 업로드할 수 있다. 데이터를 검색하기 위해서 공격자는 업로드 할 때 사용했던 데이터의 해시 값만 보내면 된다. editor@itowrld.co.kr
 Tags 클라우드 스토리지 드롭박스
함께 보면 좋은 콘텐츠
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.