테크레시피

익명으로 변을…해킹되어 사용자 데이터 유출

누군가에게 메시지와 함께 동물 변을 보낼 수 있는 사이트인 쉿익스프레스(ShitExpress)가 무단 액세스로 데이터가 유출됐다고 보고됐다.

쉿익스프레스는 지인이나 싫은 사람에게 똥을 보낼 수 있는 서비스로 배송료는 무료이며 지불은 13.95유로, 16.95달러, 0.05BTC 중 선택할 수 있으며 영어권 등에선 신용카드 결제도 가능하다. 2가지 결제 방법 모두 쉿익스프레스는 고객 신원 비밀을 엄격하게 지키겠다고 밝히고 있다.

하지만 쉿익스프레스는 2022년 8월 9일 해커(pompompurin)로부터 정보를 도난당했다. 보도에 따르면 이 해커는 해킹 포럼(Breached.co) 관리자로 이전에도 투자앱 로빈후드에서 700만 명 분량 고객 데이터를 탈취해 인터넷상에 판매한 적이 있다고 한다.

이 해커는 포럼에 직접 게시한 글을 통해 최근 쉿익스프레스를 방문해 보안 연구자(Vinny Troia)에게 동물 변을 보냈다고 밝혔다. 비니 트로이아는 해커 조직 다크오버로드(The Dark Overlord)에 대한 자세한 보고서를 작성했으며 이 해커는 트라이아에게 부러움을 느꼈다고 한다. 이 해커는 쉿익스프레스에 SQL 인젝션이라는 취약성이 있다는 걸 발견했고 이를 악용해 다른 고객 이메일 주소나 이런 고객이 대상으로 첨부한 메시지 등을 훔쳤다. 그는 쉿익스프레스에서 훔친 데이터를 포럼에 공개했지만 쉿익스프레스에 몸값을 요구하지는 않았고 대신 쉿익스프레스 소유자에게 해킹에 대해 연락했다고 한다.

쉿익스프레스 측은 서버에서 비정상적인 동작을 발견했고 스크립트 중 하나가 SQL 인젝션에 취약한 것으로 밝혀졌다며 이 오류를 곧바로 수정했다고 밝혔다. 현재 이 사이트는 아무 일도 없었던 것처럼 운영을 계속하고 있다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사