연구자들은 중국 국민들의 자세한 프로필을 구축하기 위해 데이터가 수집되었을 것으로 추정하고 있으며, 사용자들은 자신의 개인 정보를 보호하기 위해 할 수 있는 일이 거의 없다고 말합니다.
이 충격적인 발견은 Cybernews 연구원들과 데이터 보호 웹사이트 SecurityDiscovery.com의 소유주가 협력하여 이루어졌습니다. 그들은 비밀번호 없이도 완전히 개방된 데이터베이스를 발견했는데, 이 데이터베이스에는 최대 631GB의 정보가 담겨 있었습니다. 이는 약 40억 건의 개인 기록에 해당합니다.
중국 국민의 거의 모든 정보가 담긴 40억 파운드 상당의 기록이 유출되었습니다. 사진: 치메이
TechRadar 에 따르면, 사이버 보안 연구원들이 40억 개 이상의 민감한 사용자 기록을 담고 있는 거대한 보호되지 않은 데이터베이스를 온라인에서 발견했습니다.
이 사건은 지금까지 기록된 가장 큰 규모의 데이터 유출 사건으로 여겨지며, 대부분 중국 시민을 포함한 수백만 명의 사용자가 극심한 위험에 처하게 되었습니다.
우려스러운 것은 유출된 데이터의 성격입니다. 해당 팀에 따르면, 이는 일반적인 해킹이 아니라 "거의 모든 중국 시민의 포괄적인 행동, 경제, 사회 프로필"을 구축하기 위해 "꼼꼼하게 수집 및 관리되는" 데이터베이스로 보입니다. 이는 대규모 감시 프로젝트의 일환일 가능성이 있다는 의혹을 불러일으킵니다.
노출된 기록에는 전체 이름, 생년월일, 전화번호와 같은 개인 식별 정보(PII)와 카드 번호, 부채 및 저축 정보, 지출 습관과 같은 민감한 금융 데이터가 포함되어 있었습니다.
프로파일링이나 감시 목적으로 수집된 것으로 추정되는 이 데이터는 16개의 컬렉션으로 나뉘었습니다. 가장 큰 컬렉션인 "wechatid_db"에는 8억 5백만 개 이상의 기록이 포함되어 있었고, 다른 컬렉션에는 주택, 금융, 신분증 데이터가 포함되었습니다. 이번 유출로 알리페이, 위챗, 대만 관련 정보를 포함하여 총 40억 개 이상의 기록이 유출되었습니다.
게시물에는 "8억 500만 개가 넘는 기록을 보유한 가장 큰 컬렉션은 'wechatid_db'로 명명되었으며, 이는 바이두가 소유한 슈퍼 앱 WeChat에서 나온 데이터를 의미할 가능성이 높습니다."라고 적혀 있습니다.
두 번째로 큰 컬렉션인 "address_db"에는 지리적으로 식별된 주택 데이터가 포함된 7억 8천만 개 이상의 레코드가 있습니다. 세 번째로 큰 컬렉션인 "bank"에는 결제 카드 번호, 생년월일, 이름, 전화번호를 포함한 6억 3천만 개 이상의 금융 데이터 레코드가 있습니다.
유출된 기록에는 성명, 생년월일, 전화번호, 민감한 금융 데이터 등의 정보가 모두 포함되었습니다. 사진: Cybernews
이 세 가지 컬렉션만 있어도 숙련된 공격자는 다양한 데이터 포인트를 상호 연관시켜 특정 사용자의 거주지와 지출 습관, 부채, 저축 등을 파악할 수 있습니다."
이렇게 자세한 정보가 풍부하게 확보되면 위협 행위자는 쉽게 사회 공학적 공격, 신원 도용, 금융 사기를 저지르거나 심지어 피해자를 협박할 수도 있습니다.
해당 데이터베이스는 발견 직후 빠르게 삭제되었지만, 얼마나 오랫동안 노출되었는지는 알 수 없습니다. 즉, 데이터가 복사되어 배포되었을 가능성이 있습니다. 40억 건이 넘는 기록이 있는 이번 사건은 한때 역사상 최대 규모의 데이터 유출 사건 중 하나로 꼽혔던 국가 공공 데이터 유출 사건보다 더 큰 규모입니다.
유출된 데이터를 어떤 조직과 연결했는지 추적할 수 없었습니다. 식별자가 발견되지 않았기 때문입니다. 서버는 즉시 오프라인 상태가 되었습니다. 피해를 입은 사람들이 어떻게 대응해야 할지 명확한 방법이 없었습니다. 중국에서는 웨이보와 디디추싱 등 대규모 유출 사고가 이전에도 있었지만, 이처럼 대규모 유출은 없었습니다. 40억 건이 넘는 기록이 유출된 이번 사건은 단일 출처에서 발생한 중국 최대 규모의 개인 정보 유출로 추정됩니다.
출처: https://khoahocdoisong.vn/chan-dong-lich-su-4-ty-ho-so-nguoi-dung-trung-quoc-bi-lo-post1546566.html
댓글 (0)