Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향130만 클럽하우스 유저 데이터, 해커 포럼에 공개
작성일 2021-04-13 조회 72

Clubhouse Social Chat Vector Logo - Logowik.com

 

 

클럽하우스는 초대-대화 기반의 SNS 앱이다. 사용자는 초대장을 통해 대화방에 상대를 초대하거나 리스트에 있는 대화방에 들어가 대화를 나눌 수 있다. 다른 SNS들과 큰 차이점은 유명 인사들과 직접 전화 하듯이 대화할 수 있다는 점이다. 이런 차이점에 의해 클럽 하우스는 출시 2달만에 많은 이용자 수를 보유할 수 있게 되었다.

 

 

Clubhouse data of 1.3mn users leaked

 

[그림 1. 클럽 하우스 데이터 유출]

 

 

최근 클럽하우스에서 수집된 것으로 보이는 데이터가 해커 포럼에 무료로 공개되는 일, 즉 데이터 스크래핑이 일어났다. 공개된 데이터에는 사용자의 ID, URL, 팔로워 수, 계정 생성 날짜, 프로필 정보가 포함되어 있었다. CyberNews에 의하면 이런 정보들이 피싱 공격에 이용될 수 있다고 보고했다. 하지만 클럽하우스는 이번 일이 버그가 아니라고 주장했다. 해커 포럼에서 공격된 데이터는 클럽하우스에서 제공하는 데이터라는 것이다.

 

이번 일과 같은 데이터 스크래핑은 API를 이용하여 진행되었다. WhiteHat Security의 부사장인 Setu Kulkarni는 "클럽하우스에서 제공하는 API를 이용하면 수 백만명의 데이터를 수집하는데 클럽하우스 이용자 한 명이면 가능합니다"라고 말했다. 그는 이와 같은 스크래핑을 방지하기 위해 API 보안 전략을 수립해야 한다고 전했다.

 

CyberNews사는 이번 일이 클럽하우스 앱이 가지고 있는 버그에 의한 것이라고 주장했다. 하지만 이 버그가 해킹으로 이어졌다고 보긴 어렵다. 만약 해킹으로 이어졌다면 클럽 하우스에 있는 민감한 데이터들(비밀번호, 카드 정보) 또한 노출되었을 것이기 때문이다. 티오리 CEO 박세준 대표는 "공개된 자료만 가지고는 실제로 민감 정보를 private하게 들고 있는지 알 수 없지만 아직까지 클럽하우스 내 정보가 '해킹'당했다고 보기에는 어려워보인다"고 말했다.

 

 

 

[그림 2. 클럽 하우스에 대한 티오리 박세준 대표의 의견]

 

 

SNS을 표적으로 한 데이터 스크래핑은 Facebook, LinkedIn에서도 일어났다. Facebook은 5억 3천만 유저 데이터가 API를 이용하여 스크래핑 되었다. LinkedIn은 5억 유저 데이터가 스크래핑 되어 해커 포럼에 올라온 일이 있었다.

 

 

 

[그림 3. 프랑스 POLITICO 기술 편집자 트위터 게시글]

 

 

이와 같이 SNS를 이용한 스크래핑은 계속 일어날 것이다. 스크래핑을 통해 얻은 데이터를 기반으로 피싱 공격과 같은 사회 공학적 기법에 이용될 수 있기 때문이다. 따라서 SNS 앱들은 추적이 힘든 비밀번호나 multi-factor 인증과 같은 강력한 보안 정책을 둬야 한다.

 

 

출처 

https://threatpost.com/clubhouse-users-data-hacker-forum/165354/

https://limited.news/2021/04/data-of-1-3mn-clubhouse-users-leaked-on-a-hacker-forum/

https://www.facebook.com/brianairb

https://twitter.com/NicholasVinocur

첨부파일 첨부파일이 없습니다.
태그 티오리  Nicholas Vinocur  Clubhouse