레디트 시스템 해킹, 오래된 개인 정보 도난

당신은 레디트 사용자인가요? 얼마나 오랫동안 사용해왔나요? 2007년에 사용하고 있었나요? 기억하기 어렵죠? 만약 당신이 2007년에 10년 이상 사용했다면, 당신의 개인 정보가 도난당했을 수 있습니다. 해커들이 레디트 시스템을 해킹하여 사용자 데이터 일부를 훔쳤지만, 데이터는 11년 된 것입니다.

해킹 사건

확실히, 레디트는 뉴스 기사를 읽고 토론하기에 좋은 장소입니다. 사실 2005년부터 그랬습니다. 내용을 읽는 데 등록할 필요는 없지만, 자신의 뉴스 기사를 제출하거나 다른 사람에게 투표하거나 읽고 있는 내용을 논의하려면 계정이 필요합니다.

레디트 시스템은 6월 중순 해킹되었으며, 6월 19일에 발견되었습니다. 도난당한 개인 정보에는 2007년의 현재 이메일 주소와 비밀번호가 포함되어 있었습니다.

“그 이래로 우리는 어떤 정보가 접근되었는지를 알아내고, 이런 일이 다시 발생하지 않도록 시스템과 절차를 개선하기 위해 노력을 기울이고 있습니다,“ 라고 레디트의 최고 기술 책임자이자 창립 엔지니어인 크리스토퍼 슬로우가 레디트 게시물에서 말했습니다.

news-reddit-hacked-01

SMS 기반 인증의 문제점

슬로우에 따르면, 해킹이 가능했던 이유는 레디트가 직원 계정에 구식의 이중 인증 방식을 사용했기 때문입니다. 직원이 로그인하면 비밀번호 입력 후 일회용 코드를 입력하기 위해 SMS 메시지를 받았습니다. 하지만 이 시스템은 이제 안전하다고 여겨지지 않으며, 공격자들이 메시지에서 코드를 가로채기 너무 쉽습니다.

“우리는 SMS 기반 인증이 우리가 바라는 만큼 안전하지 않다는 것을 배웠고, 주요 공격 경로는 SMS 가로채기였습니다,“ 라고 슬로우가 설명했습니다. 다행히도, 그들은 이러한 일이 다시 발생하지 않도록 직원 로그인 시스템을 변경하고 있습니다.

도난당한 비밀번호는 해시 처리가 되어 있었으며, 이는 암호화 과정을 통해 무작위 문자 문자열로 변환되어 다시 맞추기 어렵게 만들었다는 것을 의미합니다. 하지만 지난 10년 동안 해싱 기술이 개선되었고, 그 구식 방법은 이제 쉽게 무너져내릴 것으로 여겨집니다.

미국 국가표준기술연구소는 2016년 SMS 기반 인증을 더 이상 추천하지 않겠다고 밝혔습니다. 1년 후, 그들은 SMS 기반 인증을 사용하여 조직의 시스템을 보호할 때의 위험을 보여주는 공식 가이드를 발표했습니다.

news-reddit-hacked-hoodie

슬로우는 그들이 사용하고 있는 서드파티 소프트웨어로 인해 항상 SMS 기반 인증을 피할 수는 없었다고 인정했습니다. 그러나 슬로우는 그들이 “이 문제를 해결했다”고 보고했습니다. 그는 “모두가 토큰 기반 이중 인증으로 이동하도록 장려하기 위해 이를 지적합니다.”라고 덧붙였습니다.

앞으로 나아가기

2007년 이후 레디트 비밀번호를 변경하지 않아 걱정되시나요? 슬로우는 해킹 사건의 영향을 받은 경우, 그들에게 연락할 것이라고 말했습니다. 만약 당신의 비밀번호가 도난당했고 여전히 사용하고 있다면 비밀번호를 재설정해야 합니다. 그러나 솔직히 말해서, 지금 이 시점에서 왜 변경하지 않으려는지 잘 모르겠습니다.

“레디트가 비밀번호 변경을 요청하든 안 하든,“ 슬로우는 덧붙였어요. “11년 전 레디트에서 사용했던 비밀번호를 오늘날 다른 사이트에서 여전히 사용하고 있는지 생각해보세요.“

2007년의 비밀번호가 도난당한 것에 대해 걱정되시나요? 그 당시 레디트를 사용하고 있었고 잊고 있었던 사라진 비밀번호로 불안하신가요? 이 레디트 해킹 사건에 대해 여러분의 생각을 알려주세요.