사용자 개인 정보 보호와 회사 광고 판매 간의 상반된 관계는 Facebook 및 기타 회사가 개인 데이터 사용에 대해 책임을 지게 되면서 계속 헤드라인을 장식하고 있습니다.
그러나 기업이 성장과 수익을 추구하기 위해 수년 동안 반복적으로 개인 데이터를 손상시켰기 때문에 이것은 최근의 추세가 아닙니다. 다음은 데이터 수집이 귀하의 개인 정보를 위험에 빠뜨릴 수 있는 몇 가지 주목할 만한 경우입니다.
1. LocalBlox는 4,800만 개의 소셜 계정을 공개합니다.
LocalBlox는 최근 모든 잘못된 이유로 헤드라인을 장식한 소셜 미디어 데이터 수집기입니다. 이는 사이버 보안 회사인 UpGuard가 LocalBlox가 4,800만 계정의 데이터를 노출시킨 것을 발견한 후의 일입니다.
"UpGuard 사이버 위험 팀은 이제 개인 및 비즈니스 데이터 검색 서비스인 LocalBlox에 속한 정보를 포함하는 클라우드 저장소 저장소가 공개적으로 액세스 가능한 상태로 남아 있었고, 수천만 개인에 대한 4,800만 기록의 상세한 개인 정보가 노출되었음을 확인할 수 있습니다. 여러 출처에서 스크랩했습니다."라고 UpGuard는 보고서에서 밝혔습니다.
그러나 유출된 데이터에는 소셜 미디어 정보만 포함된 것은 아닙니다. 여기에는 훨씬 더 많은 개인 정보가 포함되었습니다. 노출된 데이터에는 실명, 실제 주소, 생일 등이 포함되었습니다. 이 외에도 사용자 데이터에는 LinkedIn, Facebook 및 Twitter와 같은 다양한 네트워크의 세부 정보도 포함되었습니다.
UpGuard가 지적했듯이 범죄자들은 사회 공학적으로 설계된 피싱 시도 및 공격, 사회적 조작, 신분 도용 등 다양한 사기에 이 데이터를 사용합니다.
2. 노출된 1억 9,800만 미국 유권자에 대한 데이터
2017년에 공화당 전국 위원회(RNC)가 고용한 데이터 회사가 미국의 2억 등록 유권자 거의 모두의 데이터를 손상시켰습니다.
Deep Root Analytics라는 회사는 개인 정보를 기반으로 미국 유권자의 프로필을 제공했습니다. 이 데이터를 수집하기 위해 Targetpoint Consulting 및 DataTrust라는 다른 두 회사와 협력했습니다.
그 결과 광범위한 정보 수집이 이루어졌습니다. 유출된 정보에는 이름, 주소, 전화번호 등이 포함됐다. 데이터에는 개인의 민족과 종교를 예측하는 모델도 포함되어 있습니다.
유출은 Deep Root Analytics에 대한 집단 소송으로 이어졌습니다. 결국 회사는 보안되지 않은 클라우드 서버에 1.1테라바이트 이상의 데이터를 노출했습니다.
3. 스패머가 14억 사용자의 데이터를 유출
데이터 집계 회사는 합법적이지만 모든 데이터 수집기가 법의 범위 내에서 작동하는 것은 아닙니다. 10억 명이 넘는 사용자의 데이터를 실수로 유출한 대규모 불법 스팸 작업인 City River Media(CRM)의 경우입니다.
유출로 인해 실명, 사용자 IP 주소, 때로는 실제 주소와 결합된 14억 개의 이메일 계정이 손상되었습니다.
어떻게 이런일이 일어 났습니까? MacKeeper Security Research Center, CSOnline, Spamhaus의 조사관에 따르면 잘못 구성된 Rsync 백업으로 인해 데이터가 취약해졌습니다.
이것의 유일한 장점은 합법적인 마케팅 회사를 가장한 CRM이 매일 10억 개 이상의 자동 이메일을 보내는 스팸 작업으로 노출되었다는 것입니다. MacKeeper의 Chris Vickery는 CRM의 Hipchat 로그, 도메인 등록 기록, 회계 세부 정보, 인프라 계획, 생산 노트, 스크립트 및 비즈니스 제휴에 액세스할 수 있었습니다. 그런 다음 그는 이러한 세부 사항을 당국에 넘겼습니다.
그러나 이와 같은 새로운 회사가 매일 나타나므로 스팸 발송자로부터 이메일 주소를 보호하기 위한 예방 조치를 취해야 합니다.
4. Grindr는 사용자의 HIV 상태를 공유합니다.
유출된 모든 개인 데이터가 보안 결함이나 잘못된 구성의 결과인 것은 아닙니다. Facebook 및 Cambridge Analytica에서 보았듯이 때때로 서비스와 앱은 소셜 사용자로부터 데이터를 수집하여 제3자에게 제공합니다.
Aleksandr Kogan이 Cambridge Analytica에 데이터를 넘겨주는 것은 Facebook의 서비스 약관을 위반했습니다. 그러나 수집된 데이터의 엄청난 양은 당시 Facebook의 정책과 API 범위 내에서 수집되었습니다.
마찬가지로, 사용자가 제3자가 Grindr 사용자의 HIV 상태에 접근할 수 있다는 사실을 발견했을 때, 이는 LGBT 데이트 네트워크에서 평소와 같은 일이라는 것도 알게 되었습니다. 데이터에는 사용자의 GPS 위치, 전화 ID 및 이메일 주소도 포함되었습니다.
사용자는 이를 개인 정보에 대한 심각한 위반으로 간주했습니다. 이 회사는 다른 두 회사(Apptimize 및 Localytics)와 특히 민감하고 일반적으로 기밀인 의료 정보를 공유했습니다.
Grindr는 사용자에게 데이터를 판매하거나 유출하지 않았다고 확신했습니다. 오히려 그들은 앱 최적화를 돕기 위해 데이터를 공유했습니다. 그럼에도 불구하고 회사는 나중에 더 이상 사용자의 HIV 감염 여부를 제3자와 공유하지 않을 것이라고 발표했습니다.
보안 전문가들은 이러한 민감한 정보를 제3자와 공유하면 유출이나 침해 가능성이 높아진다고 지적했습니다. 다행히 온라인 계정이 해킹 또는 손상되었는지 확인하는 데 도움이 되는 도구가 온라인에 있습니다.
5. 유출된 기록이 국가의 인구를 초과
남아프리카 공화국에서 가장 큰 데이터 유출은 유출된 개인 기록의 수가 국가 전체 인구를 초과할 정도로 광범위했습니다. 유출된 내용에는 국민 대다수의 개인정보는 물론 사망자까지 포함됐다. 데이터에는 1,200만 명이 넘는 미성년자의 식별(ID) 번호도 포함되었습니다.
총 6천만 개의 고유 ID 번호와 연락처, 이름 등의 개인 정보가 데이터에 노출되었습니다. 남아프리카 공화국 시민의 ID 번호가 생일, 성별, 나이와 같은 개인 정보를 수집하는 데 사용될 수 있기 때문에 누출은 특히 심각했습니다. 범죄자들은 종종 이 번호를 사용하여 신분을 도용하거나 사기를 저지릅니다.
그렇다면 이 데이터는 어떻게 노출되었을까요? masterdeeds.sql이라는 이름의 데이터베이스 백업이 공개된 보안되지 않은 서버에서 발견되었습니다. 사이버 보안 전문가이자 HaveIBeenPwned.com Troy Hunt의 설립자는 최소 7개월 동안 노출된 데이터에 대해 제보를 받았습니다.
Dracore라는 회사에서 데이터를 집계하고 데이터베이스를 만들었습니다. 그러나 그들의 클라이언트 중 하나인 Jigsaw Holdings는 보안되지 않은 서버로 데이터를 노출했습니다.
6. Twitter에서 공유된 데이터 회사의 파일
미국에 기반을 둔 데이터 관리 회사인 Modern Business Solutions는 2016년에 여론의 잘못된 편에 서게 되었습니다. 느슨한 보안으로 인해 5,800만 개의 소비자 기록이 노출되었습니다.
해커는 보안되지 않은 MongoDB 데이터베이스 덕분에 수백만 명의 정보에 액세스하고 정보를 공유할 수 있었습니다. 해커는 데이터베이스를 다운로드하여 공개 사이트에 업로드한 다음 Twitter에서 링크를 공유했습니다. 잘못 구성된 MongoDB 데이터베이스는 해커가 순진한 사람들로부터 정보를 훔치는 많은 방법 중 하나입니다.
이 경우 노출된 데이터에는 이름, 생년월일, 이메일 및 우편 주소, 직위, 전화번호, 차량 데이터, IP 주소가 포함되었습니다.
7. 데이터 브로커로부터 도난당한 수백만 개의 ID
데이터 수집 회사가 제기하는 개인 정보 보호 문제는 한동안 존재해 왔습니다. 2013년에도 해커가 여러 주요 데이터 브로커의 서버에 액세스했다는 사실이 밝혀지면서 데이터 수집의 위험이 전면에 드러났습니다. 이러한 액세스를 통해 수백만 명의 미국인 정보를 훔칠 수 있었습니다.
해커는 잘못 구성된 서버, 보안 결함, 보안되지 않은 데이터베이스를 통해 이 데이터의 대부분에 액세스하여 SSNDOB라는 사이트에 업로드했습니다. SSNDOB 자체도 훔친 정보를 판매하는 데이터 수집기였습니다.
도난당한 데이터에는 주민등록번호, 신용 기록, 배경 확인, 생일, 주소 및 기타 개인 데이터가 포함되었습니다. 핵티비스트 10대들이 SSNDOB를 위반했을 때, 그들은 기록이 얼마나 광범위한지 알게 되었습니다. Kanye West, Jay Z, Beyonce와 같은 유명인의 주소와 개인 정보까지; 뿐만 아니라 당시 영부인인 미셸 오바마와 같은 저명인사들도 접근할 수 있었습니다.
SSNDOB의 봇넷은 LexisNexis Inc, Dun &Bradstreet, Kroll Background America Inc.와 같은 주요 데이터 브로커의 서버에 액세스했습니다. FBI는 결국 이 문제에 대한 조사에 착수했습니다.
8. Alteryx, 미국 1억 2,300만 가구에 대한 데이터 유출
2017년 UpGuard는 데이터 분석 회사인 Alteryx가 보안되지 않은 데이터 저장소를 통해 1억 2,300만 미국 가정의 데이터를 노출했다는 사실을 발견했습니다.
Alteryx의 파트너 중 하나가 소비자 신용 보고 기관인 Experian이기 때문에 공개적으로 접근 가능한 정보는 특히 민감했습니다. 저장소에는 집 주소, 연락처 세부 정보, 모기지 세부 정보, 재정 이력 및 구매 내역이 포함되었습니다. Amazon Web Services 계정이 있는 사람은 누구나 이 정보에 액세스할 수 있습니다.
UpGuard는 데이터를 "미국 소비자의 삶에 대한 현저하게 침입적인 엿보기"라고 설명했습니다. 다행스럽게도 데이터는 더 이상 공개적으로 액세스할 수 없지만 이러한 유출의 대부분과 마찬가지로 얼마나 많은 사람들이 민감한 정보를 우연히 발견하고 다운로드했는지 확실하지 않습니다.
유출은 또한 소비자들에게 회사가 얼마나 많은 개인 데이터를 수집하는지 상기시켰습니다. 간단한 인터넷 검색만으로도 웹사이트에서 귀하에 대한 개인 정보를 수집하게 됩니다.
9. 또 다른 Facebook 퀴즈 결과 사용자 데이터 유출
Facebook 사용자는 여전히 Cambridge Analytica 스캔들로 인해 불안해하고 있습니다. 그러나 데이터 수집을 위해 Facebook 퀴즈를 사용한 것은 Cambridge Analytica만이 아닌 것 같습니다.
New Scientific에 따르면 케임브리지 대학의 연구원들은 myPersonality라는 퀴즈를 만들었습니다. 퀴즈는 참가자에 대한 데이터를 수집하여 연구자가 온라인 데이터베이스에 업로드했습니다. 다른 기관의 수백 명의 연구원이 연구 목적으로 이 데이터에 액세스할 수 있습니다.
그러나 불충분한 보안 조치로 이 데이터가 4년 동안 노출되었습니다. 등록된 공동 작업자 로그인만 데이터에 액세스할 수 있지만 노출된 작업 자격 증명 집합은 보안을 손상시켰습니다.
"지난 4년 동안 한 번의 웹 검색에서 찾을 수 있는 유효한 사용자 이름과 비밀번호가 온라인에서 제공되었습니다. 데이터 세트에 액세스하려는 사람은 누구나 1분 이내에 다운로드할 수 있는 키를 찾았을 것입니다."라고 New가 말했습니다. 과학자가 말했습니다.
데이터에는 약 300만 명의 Facebook 사용자의 개인 정보와 심리 테스트 결과가 포함되었습니다.
10. 3,300만 명의 직원이 노출된 데이터베이스
2017년 대중은 미국 정부와 기업 직원에 대한 Dun &Bradstreet 데이터베이스가 유출되었음을 발견했습니다. 이로 인해 이름, 직위 및 기능, 급여, 연락처, 이메일 주소 등의 세부 정보가 포함된 3,300만 개 이상의 기록이 노출되었습니다.
Dun &Bradstreet가 친숙하게 들린다면 그들의 데이터베이스가 SSNDOB의 컬렉션(앞서 언급)에 포함되었기 때문입니다. 직원 데이터를 집계하고 기록을 마케팅 담당자에게 판매하는 회사는 유출에 대한 책임을 부인했습니다. 그들은 데이터베이스를 만들었지만 유출의 원인은 수천 명의 클라이언트 중 하나였습니다.
Troy Hunt는 소스가 데이터베이스를 보낸 후 누출을 발견했습니다. Hunt는 국방부 직원 기록이 데이터의 대부분을 구성한다고 언급했습니다. 정보 분석가, 화학 엔지니어, 군인 및 소대 상사와 같은 직책이 데이터에서 식별되어 특정 정부 역할에 침투하거나 공격하려는 외국 기관에 유용하므로 이로 인해 특정 위험에 처하게 되었습니다.
Hunt는 "우리는 개인 데이터에 대한 통제력을 잃었고 [Tim] Berners-Lee가 며칠 전에 말했듯이 공유하고 싶지 않은 데이터를 회사에 피드백할 방법이 없는 경우가 많습니다."라고 말했습니다. Dun &Bradstreet 누출에 대한 그의 보고서
유출의 영향을 받은 대부분의 사람들은 회사에서 데이터를 수집하여 신중하게 집계된 목록에 판매했다는 사실을 전혀 몰랐을 것입니다.
기업은 당신이 생각하는 것보다 당신에 대해 더 많이 알고 있습니다
이러한 많은 사건에서 공개 도메인에 도달한 정보에 대해 데이터 유출 피해자를 비난할 수 없습니다. 오히려 기업은 여러 서비스와 기록에서 이 데이터를 수집했습니다. 소비자들은 기업이 이 데이터를 제3자와 공유한다는 사실을 알지 못하는 경우가 많았습니다.
그렇기 때문에 사용하는 서비스의 개인 정보 보호 정책을 확인하는 것이 중요합니다. 또한 귀하에게 영향을 미칠 수 있는 모든 위반 및 유출에 대해 주의를 기울여야 합니다.
결국, 회사는 당신이 기대하는 당신에 대해 더 많이 알고 있습니다. 그러나 데이터를 보호하는 데 더 적극적인 역할을 할 수 있습니다. 온라인에서 개인 정보를 보호하는 방법에 대한 가이드를 확인하세요.