피드로 돌아가기
Attackers spill plaintext passwords of 46k Myspace93 users after 2021 breach
The RegisterThe Register
Security

Plaintext Credential Store 노출로 인한 4.6만 명 사용자 정보 유출 사고

Attackers spill plaintext passwords of 46k Myspace93 users after 2021 breach

2026년 5월 21일3beginner

AI 요약

Context

Myspace93 서비스의 베타 애플리케이션 접근 권한을 신뢰 기반의 내부 멤버에게 부여한 구조. 암호화되지 않은 Plaintext 상태의 Credential Store를 서버 내에 유지한 설계적 취약점 존재.

Technical Solution

  • 내부 신뢰 기반의 Beta App 접근 권한 부여를 통한 비인가자의 서버 파일 접근 허용
  • Plaintext 형태로 저장된 사용자 비밀번호 및 이메일, IP 주소 저장소의 무단 다운로드 발생
  • 공격자가 서버 전체 데이터를 추출하기 위한 별도 다운로드 프로그램 제작 및 배포
  • 사고 인지 후 사회적 관계 기반의 구두 약속에 의존한 데이터 삭제 요청 및 사후 처리
  • 취약점 근본 해결을 위해 서비스 내 모든 소셜 네트워크 관련 기능 및 계정 생성 서비스 전면 중단

Impact

  • 46,000명 이상의 사용자 Plaintext 비밀번호, 이메일, IP 주소 유출

Key Takeaway

신뢰 기반의 권한 관리는 보안의 최소 단위가 될 수 없으며, 데이터 저장 시 반드시 강력한 Hashing 및 Salting을 적용한 암호화 체계 구축이 필수적임.

실천 포인트

1. 저장되는 모든 비밀번호에 대해 Argon2, bcrypt 등 표준 암호화 알고리즘 적용 여부 확인

2. Least Privilege 원칙에 따라 베타 테스트 및 내부 운영 권한의 세분화 및 기간 제한 설정

3. 서버 내 민감 데이터 저장소(Credential Store)에 대한 접근 제어 리스트(ACL) 및 감사 로그 설정

태그

#Credential Leakage#Plaintext#Privilege-Escalation#Access Control#Data-Encryption
원문 읽기