Fractal ID, 데이터 유출 사건 원인을 2022년 비밀번호 해킹으로 추적

End-Puff Banner

출처: 토큰포스트

데이터 보안의 지속적인 도전 과제를 강조하는 이번 사건은 중앙화된 저장 시스템에서의 보안 유지가 얼마나 어려운지를 보여준다.

Fractal ID, 데이터 유출 사후 분석 발표

21일(현지시간) 코인텔레그래프에 따르면 블록체인 신원 확인 플랫폼인 Fractal ID는 7월 14일 발생한 데이터 유출 사건의 사후 분석을 발표했다. 이번 유출 사건은 2022년에 발생한 직원의 비밀번호 재사용 사건으로 거슬러 올라간다.

Fractal ID에 따르면, 유출된 계정은 3년 동안 플랫폼 운영자로 있었으며 관리자 권한을 가지고 있었다. 이로 인해 공격자는 내부 데이터 프라이버시 시스템을 우회할 수 있었으나, 시스템 모니터링 덕분에 29분 이내에 공격자를 차단할 수 있었다.

유출의 근본 원인

운영자의 운영 보안 정책 및 교육 미준수와 과거 해킹으로부터 재사용된 자격 증명이 유출을 용이하게 했다.

2024년 7월 14일, 암호화폐 신원 확인 제공업체는 백오피스 중 하나에서 이상 활동을 감지했다. 이 활동은 곧 악의적인 공격으로 확인되어 약 0.5%의 사용자 데이터가 유출되었다.

보안 강화 조치

Fractal ID는 포스트모템 보고서에서 유출된 시스템의 모든 계정을 비활성화하고, 고위 직원들에게만 접근을 제한했다고 밝혔다. 회사는 또한 향후 유사 사건을 방지하기 위해 보안 조치를 강화하는 데 우선순위를 두었다. 이러한 조치에는 요청 제한, 세분화된 권한 부여, 실패한 인증 시도에 대한 더 엄격한 모니터링, 그리고 더 엄격한 IP 제어가 포함된다.

Fractal ID는 내부 노력 외에도 관련 데이터 보호 당국과 베를린의 사이버 범죄 경찰과 접촉했다. 또한, 알려진 데이터 유출 사이트에서 유출된 데이터를 모니터링하기 위해 사이버 보안 서비스를 활용하고 있다.

데이터 유출 영향

보고서에 따르면, 약 6300명의 사용자에게 영향을 미친 유출된 데이터는 신원 증명 확인부터 전체 KYC(고객 확인 절차) 확인에 이르기까지 다양한 수준의 정보를 포함한다. 이 데이터는 이름, 이메일 주소, 전화번호, 지갑 주소, 물리적 주소 및 업로드된 문서의 이미지를 포함할 수 있다. Fractal ID는 또한 영향을 받은 사용자들에게 직접 연락하여 유출 사건을 알렸다.

Fractal ID 공동 창립자인 줄리안, 훌리오, 루이스, 안나는 이번 사건에 대해 유감을 표명하며 사용자 데이터 보호에 대한 의지를 강조했다. 그들은 데이터 보안을 강화하기 위해 셀프 커스터디 저장 시스템으로의 전환을 목표로 하고 있다고 재확인했다.

이번 보안 실패는 데이터를 안전하게 보호하는 어려움을 다시 한번 상기시켜준다. 암호화폐 신원 확인 제공업체인 Autix10은 6월 27일 온라인 관리자 로그인 정보가 노출되었음을 공개했다. 그러나 이 경우 공격자는 고객 데이터에 접근하지 못한 것으로 보인다.

원문보러가기(클릭)

Latest articles

Related articles