Kant's IT/Issue on IT&Security

Have I Been Pwned, 2억 8천 4백만 계정 데이터 유출 보고

Kant Jo 2025. 3. 9. 23:59

Have I Been Pwned Reports Huge Data Leak, Adds 284 Million Stolen Accounts

 

Have I Been Pwned Reports Huge Data Leak, Adds 284 Million Stolen Accounts

HIBP has disclosed one of the largest data exposure events in its 11-year history, integrating 23 billion rows of stolen credentials from a malware operation dubbed "ALIEN TXTBASE."

gbhackers.com

 

  • 사건 개요
    • 사이버 보안 서비스인 Have I Been Pwned (HIBP)는 11년 역사상 가장 큰 데이터 노출 사건 중 하나를 보고
    • ALIEN TXTBASE로 명명된 악성코드 작전으로부터 230억 개의 도난된 자격 증명 데이터를 통합
    • 이번 유출에는 4억 9천 3백만 개의 웹사이트-이메일 쌍과 2억 8천 4백만 개의 고유 이메일 주소가 포함
    • 새로운 비밀번호 2억 4천 4백만 개가 Pwned Passwords 데이터베이스에 추가됨
  • 데이터 유출의 규모와 출처
    • 데이터는 Telegram 채널을 통해 배포된 스틸러 로그(Stealer Logs)에서 유래
    • 초기에는 5GB 크기의 파일 2개에 3천 6백만 개의 항목이 포함된 "티저" 파일을 무료 제공
    • 이후 전체 데이터 접근을 위해 유료 구독을 요구
    • 피해자는 전 세계적으로 다양하며, 필리핀 Netflix 사용자, 독일 Mercedes 소유자 등 포함
    • 악성코드로 가장된 Notepad++ 소프트웨어 설치를 통해 기업 자격 증명이 유출된 사례도 확인
  • Telegram의 역할과 공격 방식
    • Telegram의 익명성 기능이 불법 데이터 배포에 악용
    • ALIEN TXTBASE 채널만 해도 744개의 파일을 호스팅하며, 해커들이 크리덴셜 스터핑(Credential Stuffing) 공격을 위해 최신 로그를 수익화
    • 크리덴셜 스터핑: 해커들이 도난당한 자격 증명을 여러 플랫폼에 재사용하여 공격
  • 피해자 검증 및 영향
    • HIBP 창립자 Troy Hunt는 지오펜싱된 비밀번호 재설정 테스트를 통해 데이터의 진위를 확인
    • 특정 지역(필리핀, 멕시코, 베네수엘라)에서 로그인을 시뮬레이션하여 서비스(Neflix 등)와 연결된 이메일 주소를 확인
    • 독일 사용자의 경우, 노출된 1,100개의 로그인 정보를 통해 취미(위스키 수집), 기술 선호도(Firefox 사용), 전문 관심사(특수 전기 장비) 등 개인 정보가 공개됨
  • HIBP의 새로운 도구 및 조직을 위한 지원
    • Domain Search API: 도메인 소유자가 유출된 이메일 별칭과 관련 웹사이트를 조회 가능
    • Website Operator Search API: Netflix와 같은 서비스 제공자가 손상된 고객을 식별할 수 있도록 지원
    • 이 API들은 HIBP Pwned 5 구독 서비스에서 제공하며, 기업의 사고 대응을 간소화
  • 비밀번호 데이터베이스 확장 및 새로운 보안 기능
    • 이번 업데이트로 2억 4천 4백만 개의 새로운 비밀번호가 추가되고, 기존 1억 9천 9백만 개의 항목이 업데이트됨
    • 패턴 분석을 통해 "tender-kangaroo"와 같은 기억하기 쉬운 구문 사용을 차단하도록 비밀번호 정책 강화 필요
  • 기술적 및 운영적 도전 과제
    • 1.5TB의 원시 로그 데이터를 처리하기 위해 .NET 도구 및 SQL Azure를 활용
    • 230억 개의 데이터 행을 4억 9천 3백만 개의 고유 쌍으로 정제
    • 클라우드 기반 처리의 비효율성을 인지하고, 비용 절감을 위해 로컬 하드웨어 사용
  • 보안 권고
    • 개인 사용자는 HIBP의 무료 알림 서비스를 통해 이메일 노출 여부 확인
    • 비밀번호 관리자 사용 및 다중 인증(MFA) 활성화 권장
    • 해적 소프트웨어 사용 자제, 이는 흔한 악성코드 전파 경로
    • 조직은 HIBP의 API를 채택하여 도메인 노출을 모니터링하고, 손상된 자격 증명을 감사해야 함
  • 결론
    • 스틸러 로그(Stealer Logs)가 주요 침해 벡터로 부상
    • 공격자의 2차 착취(second exploitation) 단계를 차단하기 위해 선제적 방어 필요
    • HIBP의 이번 업데이트는 개인 및 기업이 사이버 범죄자보다 앞서 나갈 수 있도록 지원
    • "클라우드가 항상 정답은 아니다"라는 교훈을 통해 디지털 생태계를 보호하기 위한 창의적이고 실용적인 접근 필요
저작자표시 비영리 변경금지

'Kant's IT > Issue on IT&Security' 카테고리의 다른 글

제조업 대상 랜섬웨어 감염 증가  (0) 2025.03.10
로보락 사용자 정보 유출 논란  (0) 2025.03.10
구글, 개인 개발자 위한 '제미나이 코드 어시스트' 무료 버전 공개  (0) 2025.03.09
군 환경에 적합한 고보안 와이파이 기술 실증 추진  (0) 2025.03.09
귀찮은 보안, 반드시 실천해야 하는 이유  (0) 2025.03.09

'Kant's IT/Issue on IT&Security'의 다른글

  • 현재글Have I Been Pwned, 2억 8천 4백만 계정 데이터 유출 보고

관련글

티스토리툴바