울지않는벌새 : Security, Movie & Society

프루나(Pruna) P2P 회원 정보 노출 주의 (2013.8.17)

벌새::Security

이뮬(eMule) P2P 기반으로 제작되어 유료로 서비스되는 파일 공유 서비스 프루나(Pruna)가 2013년 8월 17일경(※ 인터넷 상에서 알려진 시간 기준)부터 이메일 주소만 입력할 경우 회원 아이디(ID)와 비밀번호(Password)가 노출되는 보안 사고가 발생하고 있다는 소식입니다.

프루나(Pruna) 홈 페이지에서 제공하는 "아이디/비밀번호 찾기" 메뉴를 통해 접속을 해보도록 하겠습니다.

아이디 / 비밀번호 찾기 메뉴에서는 본인 확인을 위해 이메일, 휴대폰, 아이핀 인증 방식이 존재하며, 그 중에서 "이메일 인증"을 통해 회원 가입시 등록한 이메일로 인증을 시도합니다.

다음 단계에서 사용자 이메일 주소를 입력하여 아이디와 비밀번호 찾기를 시도해 보았습니다.

그러면 해당 이메일 주소로 회원 가입을 한 회원의 계정 정보(아이디, 비밀번호, 가입일)가 평문으로 그대로 노출이 이루어지고 있는 것을 확인할 수 있습니다.

 

참고로 정상적인 이메일을 통한 회원 인증 방식은 입력한 이메일을 기반으로 메일을 통해 계정 정보를 전송하는 것이 맞을텐데 웹 사이트에서 정보를 표시하도록 하는지 이해가 되지 않습니다. ??

특히 노출된 비밀번호 정보를 이용하여 바로 새로운 비밀번호로 변경이 가능한 것으로 보입니다.

 

현재 인터넷 상에서는 오래전 회원 가입으로 인해 회원인지도 인지하지 못하는 다수의 사용자가 존재한 것으로 보이며, 이를 통해 동일한 회원 정보를 통해 타 웹 사이트에서 악용할 소지가 있으므로 푸르나(Pruna) 서비스를 이용한 사용자는 반드시 확인하여 비밀번호 변경 또는 회원 탈퇴를 하시기 바랍니다.

 

 업데이트 : 이메일 인증 방식 메뉴 제거

현재 업체에서 긴급 대응을 통해 인증 방식 중 "이메일 인증" 메뉴를 제거하여 외부에서 이메일 인증 방식으로 접근하지 못하게 차단하였습니다.