비디오: [ì¤íì¸í°ë·°]'ê°ìí ì¤í 리ì§'(IP SAN)ì ê´í 5ê°ì§ ê¶ê¸ì¦ (십월 2024)
사이버 공격자는 최근 LivingSocial의 시스템을 위반하고 5 천만 명이 넘는 사용자의 고객 정보에 불법으로 액세스했다고 LivingSocial은 말했습니다. 사용자는 즉시 비밀번호를 변경해야합니다.
PCMag.com이 어제보고 한대로 LivingSocial은 영향을받는 모든 고객에게 데이터 유출 알림 이메일을 전송하여 고객에게 사이버 공격을 알리고 고객 데이터에 무단으로 액세스하도록했습니다. LivingSocial에 따르면 5 천만 개 이상의 계정이 잠재적으로 영향을 받아 올해 가장 큰 비밀번호 유출 중 하나가되었습니다.
현재 위반이 어떻게 발생했는지, 어떤 정보가 도용되었는지는 확실하지 않습니다. 이러한 종류의 사고에서 공격자는 일반적으로 직원 장치에 악성 코드를 비밀리에 설치하여 침입 한 다음 민감한 시스템을 찾을 때까지 네트워크를 돌아 다니고 있다고 Trusteer의 선임 보안 전략가 인 George Tubin은 SecurityWatch 에 말했습니다.
Tubin은“제공자들은 해커들이 고객 데이터 나 민감한 기업 정보를 얻기 위해 시스템을 목표로 삼을 것으로 기대해야한다. 이 시점에서 "이러한 공급 업체들이 단순히 고객 정보를 보호하기에 충분하지 않은 것은 분명하다"고 Tubin은 말했다.
소금에 절인 해시 암호가 균열 방지되지 않음
LivingSocial이 암호를 해시하고 소금에 절인 것은 공격자를 다소 느리게 할 것이지만, 공격자가 원래 암호를 알아내는 데있어 시도하지 못하고 성공하지 못하도록 "중지하지는 않습니다"라는 보안 표시 관리자 인 Ross Barrett Rapid7의 엔지니어링 부서는 SecurityWatch 에 말했다. 소금이 크래킹 프로세스를 늦추는 동안 "결국 공격 자나 네트워크는 정보를 얻을 수있다"고 Barrett은 말했다.
해싱은 단방향 암호화로, 특정 입력에 대해 항상 동일한 출력을 얻지 만 해시로 시작하여 원래 문자열이 무엇인지 알아낼 수는 없습니다. 공격자들은 종종 레인보우 테이블, 사전 가능한 단어, 일반적인 성, 노래 가사를 포함한 모든 가능한 문자열과 관련 해시 값을 포함하는 일련의 거대한 사전에 의존합니다. 공격자는 암호 테이블의 해시를 레인보우 테이블과 일치시켜 코드를 생성 한 원래 문자열을 찾을 수 있습니다.
솔팅은 해시를 만들기 전에 원래 입력 문자열에 추가 정보를 추가하는 프로세스를 말합니다. 공격자는 여분의 데이터 비트가 무엇인지 알지 못하므로 해시 크래킹이 더 어려워집니다.
그러나 LivingSocial은 SHA1을 사용하여 약한 알고리즘 인 해시를 생성한다는 것이 문제입니다. 널리 사용되는 또 다른 알고리즘 인 MD5와 마찬가지로 SHA1은 최소한의 컴퓨팅 리소스로 빠르게 작동하도록 설계되었습니다.
최근 하드웨어 및 해킹 기술의 발전을 고려할 때 SHA1 해시는 소금에 절이더라도 크랙 방지 기능이 아닙니다. LivingSocial은 bcrypt, scrypt 또는 PBKDF-2로 더 나았을 것입니다.
지금 비밀번호 변경
LivingSocial은 모든 사용자의 비밀번호를 사전에 재설정했으며 사용자는 다른 곳에서 사용하지 않는 새 비밀번호를 선택해야합니다. 많은 사람들이 여러 사이트에서 동일한 암호를 재사용하는 경향이 있습니다. 사용자가 다른 사이트에서 LivingSocial 비밀번호를 사용한 경우 해당 비밀번호도 즉시 변경해야합니다. 암호가 해독되면 공격자는 전자 메일, Facebook 및 LinkedIn과 같은 널리 사용되는 서비스에 대해 암호를 시도 할 수 있습니다.
배럿은“이러한 위반은 암호 보안을 유지하고 모든 계정과 사이트에 다른 암호를 사용하는 것이 왜 중요한지를 상기시켜줍니다.
공격자는 생년월일과 이름을 사용하여 피싱 및 기타 사회 공학 캠페인을 만들 수도 있습니다. 이들은 이러한 세부 정보를 참조하여 사용자가 이러한 메시지를 합법적 인 메시지라고 생각하도록 속일 수 있습니다. 도난당한 데이터는 "오랫 동안 강력한 공격을 일으킬 것"이라고 Barrett은 말했다.
Barrett은 LivingSocial 위반은 "조직이 계속해서 귀중한 고객 데이터를 대상으로 할 것임을 다시 한 번 상기시켜줍니다"라고 말했습니다.
