온라인 양식과 서베이 관련 SaaS 기업에서 백업 파일 하나 유출돼
고객사들의 정보 덩달아 유출...일부는 파트너 관계 끊어내기도
[보안뉴스 문가용 기자] 스페인의 서비스형 소프트에어(SaaS) 기업인 타입폼(Typeform)에서 정보가 유출되는 사고가 발생했다. 타입폼은 온라인 양식과 온라인 서베이를 위한 소프트웨어 제작에 특화되어 있는 기업이다. 이번 유출 사고로 당사 소프트웨어와 양식을 통해 수집된 고객들의 정보가 새나갔다고 한다.
[이미지 = iclickart]
타입폼가 웹사이트에 발표한 내용에 따르면 타입폼은 유출 사고 사실을 6월 27일에 인지했고, 발견 후 30분 만에 정보가 새나가는 구멍을 막았다고 한다. “하지만 그 사이에 공격자는 타입폼의 서버 한 곳에 침입해 5월 3일자로 되어 있는 백업 파일을 한 개 다운로드하는 데 성공했습니다.”
공격자가 가져간 파일에는 이름, 이메일 주소를 비롯한 개인정보와, 타입폼에서 제공한 양식 및 소프트웨어를 통해 사용자들이 기입하고 제출한 정보들이 저장되어 있었다. 5월 3일 이후에는 지불 관련 정보와 비밀번호까지 저장되어 있었는데, 다행히 이 부분은 공격자가 손대지 못했다고 타입폼은 설명했다.
이 사건 때문에 영향을 받은 기업 중 하나는 영국의 모바일 뱅킹 서비스 업체인 몬조(Monzo)다. 몬조에 의하면 이번 타입폼 유출 사고 때문에 약 2만 명의 개인이 피해를 봤는데, 대부분은 이메일 정도만 유출된 것으로 보인다. 하지만 일부는 우편번호, 예전 거래 은행 이름, 트위터 ID, 출신 대학, 도시, 나이, 연봉 등의 정보가 해커들의 손에 넘어가게 되었다. 이 때문에 몬조는 타입폼과의 계약 관계를 완전히 종료시켰다고 발표했다.
영향을 입은 또 다른 조직으로는 태즈메이니아 선거위원회(Tasmanian Electoral Commission)가 있다. TEC는 “해커가 훔쳐간 정보의 대부분은 이미 공개된 자료”라고 설명했다. 그러나 “일부 유권자들의 이름, 주소, 이메일 주소, 생년월일도 함께 유출되었기 때문에 피해가 적다고 할 수 없다”고 밝혔다.
그 외 이번 타입폼 사건 때문에 고객에게 유출 사고 사실을 알려야 했던 조직들로는 스라이브(Thriva), 버즈아이(Birdseye), 핵UPC(HackUPC), 오션프로토콜(Ocean Protocol) 등이 있다.
타입폼은 지난 해 유료 고객이 3만 명을 넘어섰다고 발표한 바 있다. 무료 고객들까지 합치면 이 숫자는 훨씬 높아진다고도 덧붙였다. 타입폼의 고객들로는 애플, 우버, 페이스북, 어도비, 에어비앤비, 위트랜스퍼(WeTransfer), BBC, 트렐로(Trello), 헙스팟(HubSpot), 인디고고(Indiegogo), 포브스(Forbes), 프레시데스크(Freshdesk) 등이 있다.
타입폼은 “유출의 경로와 원인을 파악했고, 문제가 되는 부분을 모두 고친 상태”라고 고객들을 안심시켰다. 또한 “앞으로 비슷한 일이 발생하지 않도록 하기 위해 만전을 기하고 있다”고도 설명했다.
하지만 트위터의 한 사용자는 타입폼의 이러한 발표 직후, 타입폼 시스템에서 취약점을 발견했다고 올리기도 했다. 이 부분에 대해서는 아직 확인된 바가 없다.
[국제부 문가용 기자(globoan@boannews.com)]
고객사들의 정보 덩달아 유출...일부는 파트너 관계 끊어내기도
[보안뉴스 문가용 기자] 스페인의 서비스형 소프트에어(SaaS) 기업인 타입폼(Typeform)에서 정보가 유출되는 사고가 발생했다. 타입폼은 온라인 양식과 온라인 서베이를 위한 소프트웨어 제작에 특화되어 있는 기업이다. 이번 유출 사고로 당사 소프트웨어와 양식을 통해 수집된 고객들의 정보가 새나갔다고 한다.
[이미지 = iclickart]
타입폼가 웹사이트에 발표한 내용에 따르면 타입폼은 유출 사고 사실을 6월 27일에 인지했고, 발견 후 30분 만에 정보가 새나가는 구멍을 막았다고 한다. “하지만 그 사이에 공격자는 타입폼의 서버 한 곳에 침입해 5월 3일자로 되어 있는 백업 파일을 한 개 다운로드하는 데 성공했습니다.”
공격자가 가져간 파일에는 이름, 이메일 주소를 비롯한 개인정보와, 타입폼에서 제공한 양식 및 소프트웨어를 통해 사용자들이 기입하고 제출한 정보들이 저장되어 있었다. 5월 3일 이후에는 지불 관련 정보와 비밀번호까지 저장되어 있었는데, 다행히 이 부분은 공격자가 손대지 못했다고 타입폼은 설명했다.
이 사건 때문에 영향을 받은 기업 중 하나는 영국의 모바일 뱅킹 서비스 업체인 몬조(Monzo)다. 몬조에 의하면 이번 타입폼 유출 사고 때문에 약 2만 명의 개인이 피해를 봤는데, 대부분은 이메일 정도만 유출된 것으로 보인다. 하지만 일부는 우편번호, 예전 거래 은행 이름, 트위터 ID, 출신 대학, 도시, 나이, 연봉 등의 정보가 해커들의 손에 넘어가게 되었다. 이 때문에 몬조는 타입폼과의 계약 관계를 완전히 종료시켰다고 발표했다.
영향을 입은 또 다른 조직으로는 태즈메이니아 선거위원회(Tasmanian Electoral Commission)가 있다. TEC는 “해커가 훔쳐간 정보의 대부분은 이미 공개된 자료”라고 설명했다. 그러나 “일부 유권자들의 이름, 주소, 이메일 주소, 생년월일도 함께 유출되었기 때문에 피해가 적다고 할 수 없다”고 밝혔다.
그 외 이번 타입폼 사건 때문에 고객에게 유출 사고 사실을 알려야 했던 조직들로는 스라이브(Thriva), 버즈아이(Birdseye), 핵UPC(HackUPC), 오션프로토콜(Ocean Protocol) 등이 있다.
타입폼은 지난 해 유료 고객이 3만 명을 넘어섰다고 발표한 바 있다. 무료 고객들까지 합치면 이 숫자는 훨씬 높아진다고도 덧붙였다. 타입폼의 고객들로는 애플, 우버, 페이스북, 어도비, 에어비앤비, 위트랜스퍼(WeTransfer), BBC, 트렐로(Trello), 헙스팟(HubSpot), 인디고고(Indiegogo), 포브스(Forbes), 프레시데스크(Freshdesk) 등이 있다.
타입폼은 “유출의 경로와 원인을 파악했고, 문제가 되는 부분을 모두 고친 상태”라고 고객들을 안심시켰다. 또한 “앞으로 비슷한 일이 발생하지 않도록 하기 위해 만전을 기하고 있다”고도 설명했다.
하지만 트위터의 한 사용자는 타입폼의 이러한 발표 직후, 타입폼 시스템에서 취약점을 발견했다고 올리기도 했다. 이 부분에 대해서는 아직 확인된 바가 없다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
