피드로 돌아가기
Techie claims Trump Mobile website was leaking thousands of people's data
The RegisterThe Register
Security

HTTP POST 요청을 통한 27,000명 고객 데이터 유출 사고

Techie claims Trump Mobile website was leaking thousands of people's data

2026년 5월 22일3beginner

AI 요약

Context

API Endpoint에 대한 인증 및 인가 체계 부재로 인한 데이터 노출 사고. 적절한 Access Control 없이 단순 HTTP 요청만으로 내부 데이터베이스에 접근 가능한 취약한 구조 설계.

Technical Solution

  • API Endpoint 내 Authorization 검증 로직 누락으로 인한 비인가 접근 허용
  • 단순 HTTP POST 요청을 통한 특정 데이터 필드 호출 가능 구조
  • 한번에 10건의 레코드를 반환하는 Pagination 방식의 한계
  • 응답 값에 포함된 Customer Number를 식별자로 활용한 Sequential Scanning 수행
  • 반복적인 Loop 요청을 통한 전체 데이터셋 수집 가능 구조
  • 취약점 발견 후 Patch를 통한 해당 Endpoint 접근 제어 적용

실천 포인트

1. 모든 API Endpoint에 JWT 또는 Session 기반의 인증 레이어 적용 여부 검토

2. ID 기반 조회 시 Sequential ID 대신 UUID 등 예측 불가능한 식별자 사용 고려

3. API 응답 데이터에 불필요한 내부 식별자 포함 여부 점검

4. 단시간 내 대량의 요청이 발생하는 패턴을 탐지하는 Rate Limiting 도입

태그

#API Security#HTTP POST#Access Control#Data Leakage#Broken Object Level Authorization
원문 읽기