민감한 개인정보 대량 노출시키는 취약점들...오케이큐피드는 48시간 내 해결
문제 발견했던 업체는 “모바일 데이팅 앱을 사용하는 건 위험성 있는 행위”
[보안뉴스 문가용 기자] 데이팅 앱으로 유명한 오케이큐피드(OkCupid)에서 다수의 취약점이 발견됐다. 데이팅 앱 사용자들이 교환 및 공유하는 민감한 정보가 이 취약점들을 통해 노출되는 것은 물론 공격자가 피해자인 것처럼 위장하여 다른 사용자들에게 메시지까지 보낼 수 있다고 한다.
[이미지 = utoimage]
오케이큐피드는 온라인 데이팅 앱들 중 인지도와 인기 면에서 가장 인기가 높다고 볼 수 있다. 약 5천만 명의 사용자들이 등록되어 있는데, 대부분 25~34세라고 한다. 그런데 오케이큐피드의 안드로이드 애플리케이션과 웹 페이지에서 취약점들이 발견됐다. 취약점 자체는 현재 해결된 상태이지만, 이를 제일 먼저 발견해 알린 보안 업체 체크포인트(Check Point)는 “온라인 데이팅 서비스 산업 자체의 보안 의식이 처참한 수준인 것을 알게 됐다”고 한다.
그러면서 체크포인트는 “온라인 데이팅 앱이나 서비스를 사용하는 건 꽤나 위험한 행위”라고 결론을 내렸다. 하지만 오케이큐피드 측은 “취약점을 48시간 안에 처리했으며 피해를 본 사용자는 한 명도 없다”고 반박했다.
체크포인트가 제시한 공격 시나리오는 다음과 같다.
1) 공격자가 오케이큐피드 사용자를 꼬드겨 악성 링크를 클릭하도록 한다.
2) 클릭하면 악성 코드가 웹 페이지와 모바일 페이지에서 실행된다.
3) 소셜 엔지니어링 공격을 할 수도 있고, 공개 포럼 등에 링크를 올려 사용자를 유입시키는 것도 가능하다.
4) 오케이큐피드의 도메인인 www.OkCupid.com은 XSS 공격에 취약한 상태. 설정 기능 속 프로파일 설정 옵션 중 section 매개변수에 자바스크립트 코드를 주입하는 게 가능하다(https://www.OkCupid.com/settings?section=).
5) 이를 활용해 사용자 인증 토큰이나 ID, 쿠키, 민감한 계정 데이터, 프로파일 정보, 사적 메시지 내용 등을 훔칠 수 있다.
2019년에도 오케이큐피드 앱에서 치명적인 보안 오류가 발견된 바 있다. 당시 공격자가 앱 사용자의 크리덴셜을 훔치거나 중간자 공격을 감행할 수 있도록 하는 취약점들이었다. 여러 사용자들이 “내 계정이 해킹당했다”고 불만을 토로하는 가운데 당시 오케이큐피드는 “침해된 데이터가 없다”고 대응했다.
이런 비슷한 일은 다른 모바일 데이팅 앱들에서도 여러 번 일어난 바 있다. 지난 해 6월, 프로프라이버시(ProPrivacy)라는 단체는 매치(Match)와 틴더(Tinder)라는 데이팅 앱에서 사용자들의 민감한 개인정보가 광범위하게 수집되고 있다는 걸 밝힌 바 있다. 게다가 앱 개발사 측은 이 정보를 다른 파트너사들과 공유하고 있었다. 이런 사항이 약관에 공개되어 있었지만, 사용자들 중 이런 사실을 제대로 인지하고 있던 사람들은 거의 없었다고 한다.
체크포인트는 “이번에 조사를 하면서 데이팅 앱 운영사들의 보안 수준이 심각한 수준으로 낮다는 걸 알게 됐다”며 “모든 데이팅 앱 개발사나 사용자들이라면 그러한 플랫폼들을 통해 공유되는 정보가 얼마나 민감한 것인지 이해하고, 그런 정보를 보호하기 위해 어떤 방법들이 사용되고 있는지 검토할 필요가 있다”고 강조했다. 하지만 왜 수준이 낮은지는 상세히 공개하지 않았다.
“이렇게 민감한 개인정보를 활용하는 사업자들 모두에게 해당하는 말이기도 합니다. 그런 앱들은 반드시 공격자들의 표적이 되거든요. 이런 분야에서 사업을 하려고 한다면, 그 무엇보다 보안에 대한 인식이 철저해야 할 것입니다. 또한 사용자들이라면, 자신의 데이터가 어떻게 보호되는지 알고, 그에 따라 소비자로서의 구매력을 발휘하는 것이 자신을 위해서도 좋습니다. 은밀한 성적 취향이 여기 저기 공개되는 게 그리 달가운 상황은 아닐 테니까요.”
3줄 요약
1. 모바일 데이팅 앱인 오케이큐피드에서 여러 가지 취약점 발견되고 패치됨.
2. 민감한 개인정보가 잔뜩 저장되고 교환되는 플랫폼은 항상 해커들이 주시하고 있음.
3. 이런 류의 산업에 참여하는 사업가들과 소비자들은 보안에 더 신경 써야 함.
[국제부 문가용 기자(globoan@boannews.com)]
문제 발견했던 업체는 “모바일 데이팅 앱을 사용하는 건 위험성 있는 행위”
[보안뉴스 문가용 기자] 데이팅 앱으로 유명한 오케이큐피드(OkCupid)에서 다수의 취약점이 발견됐다. 데이팅 앱 사용자들이 교환 및 공유하는 민감한 정보가 이 취약점들을 통해 노출되는 것은 물론 공격자가 피해자인 것처럼 위장하여 다른 사용자들에게 메시지까지 보낼 수 있다고 한다.
[이미지 = utoimage]
오케이큐피드는 온라인 데이팅 앱들 중 인지도와 인기 면에서 가장 인기가 높다고 볼 수 있다. 약 5천만 명의 사용자들이 등록되어 있는데, 대부분 25~34세라고 한다. 그런데 오케이큐피드의 안드로이드 애플리케이션과 웹 페이지에서 취약점들이 발견됐다. 취약점 자체는 현재 해결된 상태이지만, 이를 제일 먼저 발견해 알린 보안 업체 체크포인트(Check Point)는 “온라인 데이팅 서비스 산업 자체의 보안 의식이 처참한 수준인 것을 알게 됐다”고 한다.
그러면서 체크포인트는 “온라인 데이팅 앱이나 서비스를 사용하는 건 꽤나 위험한 행위”라고 결론을 내렸다. 하지만 오케이큐피드 측은 “취약점을 48시간 안에 처리했으며 피해를 본 사용자는 한 명도 없다”고 반박했다.
체크포인트가 제시한 공격 시나리오는 다음과 같다.
1) 공격자가 오케이큐피드 사용자를 꼬드겨 악성 링크를 클릭하도록 한다.
2) 클릭하면 악성 코드가 웹 페이지와 모바일 페이지에서 실행된다.
3) 소셜 엔지니어링 공격을 할 수도 있고, 공개 포럼 등에 링크를 올려 사용자를 유입시키는 것도 가능하다.
4) 오케이큐피드의 도메인인 www.OkCupid.com은 XSS 공격에 취약한 상태. 설정 기능 속 프로파일 설정 옵션 중 section 매개변수에 자바스크립트 코드를 주입하는 게 가능하다(https://www.OkCupid.com/settings?section=
5) 이를 활용해 사용자 인증 토큰이나 ID, 쿠키, 민감한 계정 데이터, 프로파일 정보, 사적 메시지 내용 등을 훔칠 수 있다.
2019년에도 오케이큐피드 앱에서 치명적인 보안 오류가 발견된 바 있다. 당시 공격자가 앱 사용자의 크리덴셜을 훔치거나 중간자 공격을 감행할 수 있도록 하는 취약점들이었다. 여러 사용자들이 “내 계정이 해킹당했다”고 불만을 토로하는 가운데 당시 오케이큐피드는 “침해된 데이터가 없다”고 대응했다.
이런 비슷한 일은 다른 모바일 데이팅 앱들에서도 여러 번 일어난 바 있다. 지난 해 6월, 프로프라이버시(ProPrivacy)라는 단체는 매치(Match)와 틴더(Tinder)라는 데이팅 앱에서 사용자들의 민감한 개인정보가 광범위하게 수집되고 있다는 걸 밝힌 바 있다. 게다가 앱 개발사 측은 이 정보를 다른 파트너사들과 공유하고 있었다. 이런 사항이 약관에 공개되어 있었지만, 사용자들 중 이런 사실을 제대로 인지하고 있던 사람들은 거의 없었다고 한다.
체크포인트는 “이번에 조사를 하면서 데이팅 앱 운영사들의 보안 수준이 심각한 수준으로 낮다는 걸 알게 됐다”며 “모든 데이팅 앱 개발사나 사용자들이라면 그러한 플랫폼들을 통해 공유되는 정보가 얼마나 민감한 것인지 이해하고, 그런 정보를 보호하기 위해 어떤 방법들이 사용되고 있는지 검토할 필요가 있다”고 강조했다. 하지만 왜 수준이 낮은지는 상세히 공개하지 않았다.
“이렇게 민감한 개인정보를 활용하는 사업자들 모두에게 해당하는 말이기도 합니다. 그런 앱들은 반드시 공격자들의 표적이 되거든요. 이런 분야에서 사업을 하려고 한다면, 그 무엇보다 보안에 대한 인식이 철저해야 할 것입니다. 또한 사용자들이라면, 자신의 데이터가 어떻게 보호되는지 알고, 그에 따라 소비자로서의 구매력을 발휘하는 것이 자신을 위해서도 좋습니다. 은밀한 성적 취향이 여기 저기 공개되는 게 그리 달가운 상황은 아닐 테니까요.”
3줄 요약
1. 모바일 데이팅 앱인 오케이큐피드에서 여러 가지 취약점 발견되고 패치됨.
2. 민감한 개인정보가 잔뜩 저장되고 교환되는 플랫폼은 항상 해커들이 주시하고 있음.
3. 이런 류의 산업에 참여하는 사업가들과 소비자들은 보안에 더 신경 써야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
