요즘에는 매일 웹 사이트의 문제점이나 사고 사례에 대한 글만 포스팅하는 것 같습니다. 그만큼 최근의 사고가 웹에 관련된 것이 많으며 그 중에서도 SQL Injection 공격이 대세로 보입니다.

오늘 소개할 내용은 미국의 특정한 사이트에서 SQL Injection 취약점으로 인해 카풀을 통해 출퇴근하는 직원들의 개인정보가 누출된 뉴스를 소개합니다.

카풀로 통근할 수 있도록 도와주는 웹사이트(https://www.ridematch.info)의 프로그래밍 오류로 인해 남부 캘리포니아에 위치한 수백명의 직원의 개인 정보가 누출되는 사고가 발생했으며, 적어도 하나 이상의 국방 관련 사이트가 포함된 것으로 알려졌습니다.

버그는 지난 달 말에 이미 발견된 것으로 해커는 개인의 이름, 집주소, 전화번호, 통근 횟수 등의 다양한 개인정보를 취득할 수 있었습니다. 이 글을 쓰는 시점에도 SQL Injection 취약점이 여전히 존재하고 있으며, 특히 개발자에게 이러한 문제점을 알린 2주가 지나도 조치가 이뤄지지 않았습니다.

웹사이트는 남부 캘리포니아에 있는 5개의 지방 정부가 함께 참여하여 개발하였으며 사용자들은 회사 및 집 주소와 출퇴근 시간을 입력하였습니다. 또한 웹사이트에서는 카풀을 이용할 수 있도록 다른 사람들에게 적절한 위치와 시간대를 알려 주고 있습니다. 

또한, 적어도 하나의 국방 관련 교육 기관이 이 웹사이트를 이용한 것으로 알려졌습니다. 하지만, 보안 상의 이유로 공개하고 있지는 않습니다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요



    Web Analytics Blogs Directory