인터넷 역사의 역사 속에 숨어 있는 MySpace는 틀림없이 최초의 대규모 소셜 네트워킹 사이트였습니다. 수백만 명의 활성 사용자를 자랑하며 상당한 문화적 영향을 미쳤습니다. 일부 사람들(Lily Allen, Calvin Harris, Adele 포함)은 이를 추종자와 직업을 찾는 방법으로 사용했지만 대부분은 재미있는 배경 화면을 선택하고 흥미로운 약력을 만드는 데 만족했습니다.
MySpace는 크게 잊혀졌습니다. 즉, 대중 의식의 전면 및 중심이 아닙니다. 페이스북과 트위터로 대체되었습니다. 예, 여전히 실행 중입니다.
설상가상으로 MySpace는 당신을 잊지 않았습니다. 그리고 모든 개인 정보가 유출될 수 있습니다.
Haunt You로 돌아오는 것은 무엇입니까?
오늘날 주요 사이트의 보안 검사는 일반적으로 매우 엄격합니다. 비밀번호를 안전하게 유지하고 모든 개인 데이터를 비공개로 유지하기 위해 적절한 예방 조치를 취하기 위해 신뢰할 수 있습니다. 그래야 합니다.
이전 MySpace에 액세스하여 제어하려면 사이트의 전성기 이후 해커가 필요로 하는 모든 것이 귀하의 이름, 사용자 이름 및 생년월일입니다. 어떤 종류의 비밀번호도 필요하지 않으며 이메일 주소를 통한 확인도 필요하지 않습니다.
이 보안 결함은 "계정 복구" 페이지를 통해 발생했습니다. 훨씬 더 많은 생각을 해야 합니다. 회사는 기존 사용자를 다시 끌어들이기 위해 브랜드 변경을 거쳤으므로 계정을 복구하는 것이 필수적입니다.
일단 요청이 이루어지면 액세스를 허용하기 전에 연결된 주소로 일종의 확인 이메일을 보낼 것이라고 생각할 것입니다. 그 대신에 필요한 것은 바로 사용할 수 있는 정보뿐입니다.
이름은 사용자 이름과 마찬가지로 찾기가 매우 간단합니다. 실제로는 프로필 URL에 있지만 지금은 잊어버렸을 수도 있습니다! 한편 귀하의 생년월일은 다양한 누출(우리가 다시 언급할 것임) 또는 Facebook을 통해 제공될 수 있습니다. 후자는 주로 소셜 네트워크에 제출한 세부 정보와 개인 정보 설정에 따라 다릅니다.
피해는 무엇입니까?
설상가상으로 MySpace는 이에 대해 몇 달 동안 알고 있었지만 이에 대해 아무 조치도 취하지 않았습니다. 주요 언론 매체로부터 나쁜 언론을 받기 전까지. 이제 URL이 로그인 페이지로 리디렉션됩니다. 결코 이상적이지 않습니다.
그 자체로 주목할 만합니다.
이 취약점을 노출한 것에 대해 Positive Technologies의 Leigh-Anne Galloway에게 감사를 표했습니다. 그녀는 4월에 이 문제를 처음 발견했고 이에 따라 MySpace에 알렸습니다. 그녀는 응답으로 자동 이메일을 받았습니다... 그게 전부입니다. 3개월 후 그녀는 세상이 알아야 한다고 결정했고 MySpace는 실제로 무언가를 해야 했습니다.
소란이 무엇인지 궁금해 할 수 있습니다. 거기에 여전히 관심이 있는 것이 없습니까?
기본적으로 사이버 범죄자는 MySpace에서 사용하는 이메일 주소와 비밀번호를 변경하여 프로필을 완전히 제어할 수 있습니다. 이것은 신분 도용입니다.
그리고 거기에 아직 방대한 양의 정보가 있지는 않지만 킁킁거리지 않아도 됩니다.
완전히 낯선 사람이 어렸을 때 당신의 사진에 접근하는 것에 대해 어떻게 생각하십니까? 아마도 십대였을 때? 끔찍하지, 그렇지? 거기에 부끄러운 일이 있다면 그것이 당신에게 불리하게 사용된다면 어떤 기분이 들겠습니까? 요즘 연예인들은 미디어를 비롯한 다양한 업계에서 자신의 오래된 소셜 미디어 계정을 샅샅이 뒤져 사람들을 상대로 MySpace를 사용하는 것이 우선순위가 되었습니다.
실제로, 이 사이트는 "Throwback Fridays"의 일환으로 오래된 디지털 사진이 역류를 위해 부활하는 목요일에 여전히 특히 좋은 통계를 얻고 있습니다.
생일, 이메일 주소, 전화번호와 같은 개인 식별 정보(PII)도 사기꾼에게 가치가 있다는 점은 말할 필요도 없습니다.
좋은 소식이 무엇입니까?
예, 있습니다. 좋은 소식입니다. 하지만 그것에도 코다가 있습니다.
MySpace는 거의 인식할 수 없습니다.
이것은 리브랜딩 때문입니다. MySpace는 음악에 중점을 둔 소셜 사이트로 재탄생했습니다. 모든 프로필이 개인 설정을 잃어버렸으므로 어떤 창피한 배경 화면을 설정했는지 기억하고 싶다면 운이 좋지 않습니다. 좋아하는 책, TV, 영화 및 노래의 "Top X" 목록을 포함하여 다양한 세부 정보가 사라졌습니다.
문제는 남아 있습니다. 귀하의 프로필은 깨끗한 시트가 아닙니다. 모든 개인 정보가 사라진 것은 아닙니다. 다시 말하지만, 개인 식별 정보의 가치를 과소평가해서는 안 됩니다.
또한 기본 정보에서 많은 데이터를 유추할 수 있습니다. Facebook을 예로 들어 보겠습니다. 서비스는 귀하에 대해 많은 것을 알고 있으므로(귀하가 활성 회원인지 여부에 관계없이) 해커가 이를 통해 귀하에 대한 공정한 평가를 받을 수 있습니다. Digital Shadow는 비교적 적은 데이터를 기반으로 귀하에 대해 어떤 세부 정보를 추측할 수 있는지 보여줍니다.
MySpace는 당신이 생각했던 것만큼 죽지 않았습니다. 2015년 11월에는 미국에서만 5,060만 명의 고유 사용자를 확보했고 4억 6,500만 개 이상의 이메일 주소를 처리했습니다. 이는 잠재적으로 얻을 수 있는 많은 데이터입니다.
잠깐, 최근에 MySpace가 문제가 되지 않았습니까?
이 정도면 나쁘지 않은 듯, 마이스페이스는 2016년, 혹은 2008년에 이어 또 다른 충격을 받은 뒤 특히 안 좋은 모습으로 그려졌다.
때로는 데이터 침해에 대해 침묵하는 기업이 좋은 것일 수 있습니다. 그러나 MySpace는 중대한 누출을 겪었고 우리는 해킹 후 적어도 3년 후에야 이를 알게 되었습니다. 3억 6천만 개 이상의 이메일 주소와 4억 2천 7백만 개 이상의 비밀번호가 소셜 네트워크를 통해 판매될 때인 2016년에 처음 알게 되었습니다.
원래 해킹은 2008년에서 2013년 사이에 발생했을 수 있습니다.
MySpace를 사용한 경우 haveibeenpwned.com으로 이동하십시오. 이는 데이터가 위반의 일부인지 여부를 알려줍니다. 몇 년 전 MySpace에 가입할 때 사용한 이메일을 기억할 수 있다면 입력하십시오. 충격적이죠?
Jeff Bairstow, Time Inc. 수석 부사장 겸 최고 재무 책임자(CFO)는 사용자를 안심시켰습니다.
<블록 인용>"우리는 고객 데이터와 정보의 보안과 개인 정보를 매우 중요하게 생각합니다. 특히 악의적인 해커가 점점 더 정교해지고 모든 산업 분야에서 침해가 너무 흔한 시대에 말이죠. 우리 정보 보안 및 개인 정보 보호 팀은 지원하기 위해 최선을 다하고 있습니다. MySpace 팀."
우리는 개인 정보가 심각하게 취급된다는 말을 들었습니다. 그러나 이 최신 보안 결함은 해킹 이후로 손상되지 않았습니다.
해킹으로 도난당한 비밀번호는 SHA(Secure Hashing Algorithm)-1 해시로 저장됐다. 이렇게 하면 비밀번호가 다른 숫자로 변경되지만 실제로는 그다지 안전하지 않습니다. 솔팅 및 느린 해시는 비밀번호를 보호하는 보다 우수한 방법입니다. 오류가 없는 것은 아닙니다. 현재로서는 아무 것도 없기 때문입니다. 하지만 지금은 최선을 다하고 있습니다.
그러나 지금은 MySpace가 더 강력한 암호 보호를 구현했더라도 간단한 계정 복구 프로세스로 인해 문제가 발생했을 것 같습니다.
무엇을 해야 합니까?
이것은 인터넷 보안에 대해 무엇을 말합니까?
MySpace는 대중에게 크게 잊혀진 기업이지만 정보를 적절히 관리하지 않는 대기업의 최신 사례에 불과합니다. 단순히 충분하지 않습니다. 보안 조치는 사이트의 전성기에 상관없이 항상 최신 상태로 유지되어야 합니다.
당신은 그것에 대해 무엇을 할 수 있습니까? 우선 마이스페이스는 관련 페이지를 내려놓았기 때문에 지금은 로그인 정보가 기억나지 않으면 네트워크에 접속할 수 없다. 사이트 보안이 강화되기를 바랍니다.
그러나 신뢰할 수 있는 것으로 입증되지 않았습니다. MySpace에서 귀하의 계정을 삭제하도록 조언하는 것은 불공정할 수 있지만 이것이 바로 Leigh-Anne Galloway가 한 일입니다. 이유를 이해할 수 있습니다. 확실히, MySpace로 다시 마이그레이션할 생각이 없다면 거기에서 모든 정보를 삭제하지 않는 것은 겁쟁이일 것입니다.
계정을 삭제하셨습니까? 추가 유출이 걱정되십니까? 아니면 수많은 보안 침해 이후에 이미 존재하는 것을 삭제하는 것이 무의미하다고 생각하십니까?