3백만 명 사용자 정보 포함된 WWE 데이터베이스, AWS에 그대로 노출
집 주소부터 자녀 생일까지 민감한 개인정보에 아무나 접근할 수 있었던 듯
[보안뉴스 오다인 기자] 미국 프로레슬링 팬 3백만 명의 개인정보가 온라인에 그대로 노출됐던 것으로 나타났다. 집 주소나 자녀 생일, 학력 등의 정보가 별도의 암호화 없이 고스란히 노출됐던 것으로 알려져 프로레슬링 팬이라면 사이버 공격에 대비한 단속이 필요해 보인다.
[이미지=iclickart]
보안 전문업체 크롬테크(Kromtech)의 밥 디아첸코(Bob Dyachenko)는 지난 주, 아마존 웹 서비스(AWS) S3 서버에 미국 프로레슬링(WWE: World Wrestling Entertainment) 데이터베이스가 보호되지 않은 채로 노출돼 있다는 사실을 발견했다. WWE는 디아첸코의 제보를 받은 뒤 빠르게 해당 정보에 대한 접근을 차단했다.
디아첸코는 웹 주소를 알고 있는 누구나 해당 정보를 열람할 수 있었다고 지적했다. WWE 데이터베이스에는 3백만 명 이상의 사용자 정보가 포함됐다. 해당 사용자 정보는 집 주소, 이메일 주소, 사용자 생년월일, 자녀 생년월일, 성별, 학력, 수입, 인종 등을 아우르는 개인식별정보로, 사실상 누구나 온라인상에서 이런 민감한 정보에 접근할 수 있었던 셈이다. WWE는 고객들이 비디오 스트리밍 서비스로 레슬링 경기를 보려면 WWE 네트워크에 구독 신청하도록 요구한 바 있다.
WWE의 어느 지사 또는 어느 부서가 해당 데이터베이스를 보유하고 있었는지에 대해서는 아직 정확하게 밝혀진 바 없다. 다만, 디아첸코는 노출된 정보의 유형이 WWE 고객 계정의 세부 항목과 일치하고, WWE 슈퍼스타나 팬의 소셜 미디어를 추적한 정보가 담겼다는 사실로 미루어 WWE 마케팅 부서 중 한 곳에 속한 데이터베이스였을 것으로 예측하고 있다.
방대한 정보가 노출된 데 대해 디아첸코는 WWE가 데이터베이스를 잘못 구성했거나 WWE의 IT 파트너사가 실수했을 것이라고 지적했다. WWE는 이번 사건의 경위와 관련해 현재 조사 중인 것으로 알려졌다. WWE 대변인은 미국 경제지 포브스(Forbes)를 통해 “이번에 신용카드 정보나 비밀번호가 노출된 것은 아니지만 잠재적인 취약성을 조사하고 있다”고 설명했다.
한편, AWS의 대규모 정보 노출은 이번이 처음이 아니다. 미국 공화당 전국위원회(RNC)를 대행해 투표자 수백만 명의 정보를 수집하고 분석해온 업체 딥루트애널리틱스(Deep Root Analytics)가 해당 정보를 AWS S3에 노출한 사례가 지난 날 드러났으며, 그 전에는 미국 정부 하청업체 부즈 앨런 해밀턴(Booz Allen Hamilton)이 약 6만 건의 민감한 정보를 AWS S3에 노출한 바 있다.
[국제부 오다인 기자(boan2@boannews.com)]
집 주소부터 자녀 생일까지 민감한 개인정보에 아무나 접근할 수 있었던 듯
[보안뉴스 오다인 기자] 미국 프로레슬링 팬 3백만 명의 개인정보가 온라인에 그대로 노출됐던 것으로 나타났다. 집 주소나 자녀 생일, 학력 등의 정보가 별도의 암호화 없이 고스란히 노출됐던 것으로 알려져 프로레슬링 팬이라면 사이버 공격에 대비한 단속이 필요해 보인다.
[이미지=iclickart]
보안 전문업체 크롬테크(Kromtech)의 밥 디아첸코(Bob Dyachenko)는 지난 주, 아마존 웹 서비스(AWS) S3 서버에 미국 프로레슬링(WWE: World Wrestling Entertainment) 데이터베이스가 보호되지 않은 채로 노출돼 있다는 사실을 발견했다. WWE는 디아첸코의 제보를 받은 뒤 빠르게 해당 정보에 대한 접근을 차단했다.
디아첸코는 웹 주소를 알고 있는 누구나 해당 정보를 열람할 수 있었다고 지적했다. WWE 데이터베이스에는 3백만 명 이상의 사용자 정보가 포함됐다. 해당 사용자 정보는 집 주소, 이메일 주소, 사용자 생년월일, 자녀 생년월일, 성별, 학력, 수입, 인종 등을 아우르는 개인식별정보로, 사실상 누구나 온라인상에서 이런 민감한 정보에 접근할 수 있었던 셈이다. WWE는 고객들이 비디오 스트리밍 서비스로 레슬링 경기를 보려면 WWE 네트워크에 구독 신청하도록 요구한 바 있다.
WWE의 어느 지사 또는 어느 부서가 해당 데이터베이스를 보유하고 있었는지에 대해서는 아직 정확하게 밝혀진 바 없다. 다만, 디아첸코는 노출된 정보의 유형이 WWE 고객 계정의 세부 항목과 일치하고, WWE 슈퍼스타나 팬의 소셜 미디어를 추적한 정보가 담겼다는 사실로 미루어 WWE 마케팅 부서 중 한 곳에 속한 데이터베이스였을 것으로 예측하고 있다.
방대한 정보가 노출된 데 대해 디아첸코는 WWE가 데이터베이스를 잘못 구성했거나 WWE의 IT 파트너사가 실수했을 것이라고 지적했다. WWE는 이번 사건의 경위와 관련해 현재 조사 중인 것으로 알려졌다. WWE 대변인은 미국 경제지 포브스(Forbes)를 통해 “이번에 신용카드 정보나 비밀번호가 노출된 것은 아니지만 잠재적인 취약성을 조사하고 있다”고 설명했다.
한편, AWS의 대규모 정보 노출은 이번이 처음이 아니다. 미국 공화당 전국위원회(RNC)를 대행해 투표자 수백만 명의 정보를 수집하고 분석해온 업체 딥루트애널리틱스(Deep Root Analytics)가 해당 정보를 AWS S3에 노출한 사례가 지난 날 드러났으며, 그 전에는 미국 정부 하청업체 부즈 앨런 해밀턴(Booz Allen Hamilton)이 약 6만 건의 민감한 정보를 AWS S3에 노출한 바 있다.
[국제부 오다인 기자(boan2@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 TH.jpg)
 th.jpg)
 THJ.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
