You are viewing a single comment's thread from:

RE: [필독] 유토피안 해킹 / 스팀커넥트 (SteemConnect SC2) 사용시 주의 ~ (권고)

in #kr7 years ago (edited)

오해가 있으신 것 같네요 steemconnect에 잠재적인 문제가 있다고 언급하셨는데 이번 이슈는 utopian.io 데이터베이스 해킹으로 발생한 사건이지 steemconnect 자체가 문제가 있어서 발생한 사건이 아님을 알려드립니다 실제로 해커가 steemconnect 서버에 침입한 것도 아닙니다. 또한 지갑이나 계정 보유자가 소유한 키는 이번 해킹 사건 피해 대상이 아니므로 안전합니다. 따라서 이번 utopian.io 해킹으로 인해 피해를 입을 가능성이 있는 스팀잇 계정 대상은 1) utopian.io 에 steemconnect를 이용해 로그인한 이력이 있는 사용자 2) 해킹이 의심되는 기간에 자신의 허락없이 업보트 및 다운보트 활동이 발생한 사용자입니다. 추가정보는 제 블로그에 있는 https://steemit.com/kr/@dakeshi/steemconnect-automated-votes-abuse-on-steemconnect 글을 참고하세요

Sort:  

steemconnect 자체가 문제가 있어서 발생한 사건이 아님

네 그부분은 알고 있습니다. 그래서 제목도 (권고) 라는 점을 명시 하였습니다.

제가 말하고자 하는 잠재적인 위험은 유토피안 처럼 sc2를 사용하는 사이트가 해킹이 되는 것을 가정하고 말씀하신 것처럼 의도하지 않은 업보팅 다운보팅이 이뤄질 수 있는 것을 의미 합니다

보통 토큰을 발행하면 유효시간등을 지정하여 일정 시간 보통 사이트마다 다르겠지만 1시간 이내로 하여 해당 시간 토큰이 사용되지 않으면 expire 처리를 하는데 sc2에는 그런 기능이 없는 걸로(아니라면 피드백 바랍니다) 알고 있습니다.

이것이 제가 말하는 sc2의 잠재적 문제점이라 생각 하는 것이고여 물론 위에 제가 명시한 링크에 접속하여 권한을 revoke 할 수 있지만 일반 사용자로써는 매우 불편하고 잘 모르는 분이 과반수 이상일 것이라 생각 합니다.

답변 감사합니다. 댓글 내용 잘 보았습니다. 제 생각에는 이번 사건은 sc2 를 인증에 사용한 기업/단체가 보안의식이 없거나 보안 관리를 미흡하게 해서 발생한 문제기 때문에 steemconnect를 인증에 사용한 업체들이 보안 관리를 제대로 하지 못하면 이러한 문제가 발생할 수도 있다는 점을 공지하는게 가장 중요한 일인 것 같습니다. @haejin 님 글이 타겟이 된 것을 보면 의도가 참 명확해 보이고 utopian.io 내부자는 아니었다는 공지가 있었지만 누가 벌인 일인지는 좀 더 조사가 필요한 것 같습니다. 또한, 이 문제가 다른 앱에서도 일어날 수 있다는 점을 steemconnect 팀에서도 인지하고 있으며 개선 작업이 진행 중에 있습니다.

이번 해킹 사건은 사용자 측면에서는 다운보트/업보트가 동의없이 발생했고, utopian.io 쪽도 전체 파일 시스템 삭제, 전체 CDN 삭제 등 상당한 피해를 입혔습니다. 백업 패턴이라든가 시스템이 어디 저장되어 있는지 해커가 정확히 알고 있었기 때문에 utopian.io 쪽에서는 처음에 내부자 소행으로 확신을 가지고 있었는데 공식 발표에는 내부자 소행이 아닌 것으로 나왔군요. 백업 데이터와 파일 시스템이 다 날아가서 정확히 어떤 형태의 공격이 발생했는지 utopian.io 팀이 원인을 파악하기 힘든 상황이라고 합니다. 이게 정말 문제지요.. 문제 원인을 알아야 대응을 하는데 원인이 파악이 안되고 있는 상황이라서요. 확실히 파악된 것은 steemconnect 토큰이 유출되었다는 사실 뿐입니다.

추가로, 본문 내용 중에 steemconnect 토큰 유출로 가능한 작업 중 스팀/스달 인출 이 포함된 부분이나 계정 소유자 허가없이 발생한 보팅/다운보팅 행위 발생시 비밀번호 변경이 필요하다고 말씀하신 부분은 수정이 필요해 보입니다. busy.org와 utopian.io 공지에서도 이 부분은 명확히 안내되어 있습니다. steemconnect 토큰으로 가능한 것은 posting 권한으로 할 수 있는 작업만 해당하기 때문에 자금인출/전송/delegate는 불가능하며, 계정 보유자가 소유한 키가 직접 관련된 이슈가 아니기 때문에 비밀번호 변경은 필요하지 않습니다.

revoke 와 관련해서는 steemconnect 팀에서 모든 사용자를 대상으로 utopian.io 와 관련된 토큰에 대한 revoke 조치를 마쳤기 때문에 사용자가 utopian.io 해킹 사건과 관련해서 steemconnect dashboard에서 revoke할 대상은 없습니다. 다른 앱들에서는 문제가 보고되지 않았으니까요. 그래도 불안하시다면 승인한 모든 앱에 대해 revoke 하라고 안내하는 것도 괜찮을 것 같네요.

expire 문제는 음.. 글쎄요. 이 부분이 보안성을 높이는 데 도움이 될 것으로 보이지만 사용자 불편을 초래할 수도 있는 부분이라 어떻게 개선이 될 지는 좀 더 지켜봐야 할 것 같습니다.

자금인출/전송/delegate는 불가

위 부분은 hot link(active 키를 재입력 받음) 로 처리 됨을 확인 했고 본문도 약간 수정하여 기재 했습니다.

하지만 comment option 설정이 가능하기 때문에 댓글 및 보팅이 없는 글에 대해 베니피셔리를 100% 설정 가능한 시나리오도 가능 하며 이는 매우 난감하갰죠... 보상을 타인이 다 가져가니 ㅡㅡ;

그리고 마지막으로

기업/단체가 보안의식이 없거나 보안 관리를 미흡

위 사항이 가장 중요하다 생각 됩니다.

comment_options 에서 베니피셔리 설정 시나리오가 가능한가보군요. 아직 sc2를 구현해보지 않아서 몰랐습니다. ㅎㅎ. 이번 사태에서 드러난 utopian.io의 보안 의식이나 침해 사고 대응 절차는 많은 것을 느끼게 해주네요. steemconnect 커뮤니티에서 utopian.io 해킹 사건 대응을 위해 여러 가지 의견을 내면서 적극적으로 도와주려고 하는 모습도 대단히 인상적이었습니다.