이 기사는 재인증 HDD 공급업체인 goHardDrive에서 발생한 중요한 데이터 유출 사건에 대해 다루고 있습니다. 개발자 마이클 린치가 반품 승인 요청(RMA)을 제출하는 과정에서 이 사건을 발견했습니다. 린치는 GHD의 RMA 상태 확인 포털이 공개적으로 접근 가능하다는 사실을 알게 되었고, 이를 통해 유효한 RMA 번호만 입력하면 고객의 이름, 주소, 이메일, 전화번호 등 민감한 정보를 누구나 쉽게 조회할 수 있었습니다.
이 취약점은 RMA 상태 페이지에 인증 절차가 없어서 발생했으며, 쉽게 악용될 수 있었습니다. 린치는 약 42,000개의 유효한 ZIP 코드와 일반적인 집 번호를 사용하여 공격자가 각 RMA 번호에 대해 약 420만 가지의 조합을 생성할 수 있음을 보여주었고, 이는 개인 데이터에 접근할 가능성을 크게 높였습니다. 수동 접근 방식으로도 데이터 유출의 가능성이 높았으며, 빠른 검사를 수행할 수 있는 데이터 서버의 존재로 인해 더욱 그러했습니다.
이 발견에 대한 대응으로 GHD는 처음에 문제를 3~5 영업일 내에 해결하겠다고 약속했지만, RMA 확인 과정에 추가 필드(ZIP 코드 및 집 번호)만 추가했습니다. 이 변경은 겉보기에는 보호적인 조치처럼 보였지만, 여전히 단호한 해커에게는 취약했습니다. 결국 GHD는 RMA 상태 페이지를 완전히 제거하고 고객이 이메일을 통해 업데이트를 요청하도록 요구하기로 결정했습니다.
린치는 이러한 발견에 대한 버그 바운티 프로그램이 있는지 문의했지만, GHD는 이를 운영하지 않고 있었습니다. 대신, 그들은 330달러 구매에 대해 감사의 표시로 20달러 환불을 제안했으며, 이는 심각한 취약점에 대한 일반적인 버그 바운티 보상이 수백에서 수천 달러에 이르는 것에 비해 매우 낮은 금액입니다. 이 사건은 데이터 보안의 중요성과 고객 정보를 보호하지 못하는 기업이 직면할 수 있는 재정적 영향을 강조합니다.
* 이 글은
tomshardware.com의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.