디시인사이드 갤러리

갤러리 이슈박스, 최근방문 갤러리

갤러리 본문 영역

뻑가 신상털이를 통해 알아보는 '크리덴셜 스터핑'의 위험성앱에서 작성

위키리크스갤로그로 이동합니다. 2024.11.09 21:45:01
조회 42716 추천 339 댓글 607


크리덴셜 스터핑(Credential Stuffing)이란?

단순히 말해, 공격자가 획득한 사용자 A의 ID, 비번, 계정 등의 정보를, A가 이용할만한 사이트에 무작위 대입해서 공격하는 기법을 뜻.

자 그럼 이제 뻑가의 신상을 크리덴셜 스터핑(Credential Stuffing) 공격을 통해 특정해보자.




7cf3da36e2f206a26d81f6e74383726d85


3년 전에 뻑가 신상 알고 있다고 어그로 끌던 한 병신의 유튜브 동영상.

이 영상은 하나도 중요하지 않고 이 캡쳐본을 한 번 봐보자.




7ff3da36e2f206a26d81f6e642817d65da

"ppkka.hello@gmail.com"

이게 뻑가가 쓰는 구글계정....

나온 건 ID밖에 없지만 사실 이 ID만으로도 수많은 정보를 추출해낼 수 있다.




79f3da36e2f206a26d81f6e445887569bb

뻑가 구글계정의 로그인 페이지에서 "비밀번호 찾기"를 눌러보자.




78f3da36e2f206a26d81f6e74186766966

*** **** **62 (총 11자)

뻑가 전화번호의 일부를 알 수 있다.

이래서 계정을 만들 때 가급적 번호인증을 하면 안 된다.

번호인증을 선택적으로 요구한다면 절대 하면 안 되고, 필수로 요구한다면 해외 가상번호를 통해 인증하자.

뻑가의 전화번호가 11자인 걸로 보아, 저 전번은 가상번호가 아닌 뻑가의 실제 한국 전화번호로 보인다.

(가상번호로 가장 많이 사용되는 미국의 전번은 총 10자)




7bf3da36e2f206a26d81f6e443867d6c41

뻑가가 "be*****@n****.com"이라는 메일을 복구메일로 설정한 것을 알 수 있다.

이새낀 좆됐다.

먼저 본격적으로 들어가기 전에, 구글의 마스킹 방식에 대해 한 번 알아보자.

어떤 사이트는 "better1234"(총 10자)라는 정보를 표시할 때, 그 정보가 총 10자라는 것도 개인정보가 될 수 있으니, 숨기기도 한다.

가령 "better1234"를 앞의 "be"만 빼고 전부 마스킹하면 "be********"(10자)이지만, 일부 사이트는 "be****"(6자)까지만 표시하여 개인정보를 보호한다.

그럼 구글은 어떤 마스킹 방식을 사용할까? 테스트를 한 번 해보자




7af3da36e2f206a26d81f6e64286706ca9

"wikileaksgallery@gmail.com"이라는 구글 계정의 복구메일을 "p9l064htz1pqmyjx.acts402@passmail.net"로 설정했다. (@ 앞 총 24자, @ 뒤 총 12자)




75f3da36e2f206a26d81f6e74786776969

"p9l•••••••••••••••••••••@pa••••••.net"




74f3da36e2f206a26d81f6ec4487726c

7ced9e2cf5d518986abce8954780746fd46b

앞 24자, 뒤 12자

정확히 일치한다.

고로 구글은 자릿수를 숨기지 않는다.

즉, 우리는 뻑가가 사용하는 이메일의 자릿수와, 일부 단어를 알 수 있다.




7bf3da36e2f206a26d81f6e443867d6c41

"be*****@n****.com"

@ 뒤는 "naver"이고

@ 앞은 "be*****"(총 7자)이다.

이로써 뻑가가 "be"로 시작하는 총 7자의 네이버 이메일을 쓰는 것을 알 수 있다.

또, 앞서 뻑가의 전화번호는 "*** **** **62"였다.

위 두 가지 정보를 추합하면 뻑가의 네이버 계정을 특정할 수 있다.




7cec9e2cf5d518986abce8954488746fbdef

네이버 회원가입 페이지에 어떤 아이디를 대입하면, 이 아이디가 이미 존재하는 id인지 확인해주는 기능이 있다.




7cef9e2cf5d518986abce89545817065c667

또 네이버 아이디는 영문 소문자, 숫자, 특수문자 "_", "-"만 사용할 수 있다.

즉, 한 자리에 대한 경우의수는 38(26+10+2)이다.

"be*****"를 기반으로 38⁵(약 8천만)의 대입을 하면 후보군이 추려질 것이고, 그 중 뻑가의 네이버 계정이 있다.

이 중 복구 전화번호가 62로 끝나는 계정이 뻑가일 것이다.

이로써 뻑가의 신상은 특정되었다.

단, 실제로 38⁵번 대입하면 디도스로 간주되어 네이버에게 고소당하기 때문에 직접 해보진 말자.




7cee9e2cf5d518986abce895458475645c

이렇게 뻑가의 신상이 특정된 이유는,

1. 뻑가가 자신의 구글계정 id를 쉽사리 노출했기 때문.

2. 뻑가가 자신의 구글계정의 복구 전화번호에 가상번호를 사용하지 않았기 때문.

3. 뻑가가 자신의 구글계정의 복구 이메일에 익명/보안 이메일을 사용하지 않았기 때문.

우리 위키리크스 갤러리 친구들은 항상 가상번호, 익명/보안 이메일을 사용해서 크리덴셜 스터핑 공격에 대비하도록 하자.


출처: 위키리크스 갤러리 [원본 보기]

추천 비추천

339

고정닉 56

571

댓글 영역

전체 댓글 0
등록순정렬 기준선택
본문 보기