데일리닷, 더버지 등 복수 외신이 코로나19 백신 거부 집단 전용 데이팅 플랫폼 언젝티드(Unjected)의 고객 3,500명의 데이터 대거 유출 위험성이 발견된 사실을 보도했다.
언젝티드의 대규모 데이터 유출 문제는 사용자 데이터 보호 기본 주의사항을 소홀히 한 탓에 발생했으며, 자칫하면 해커 세력이 사이트 관리자 계정에도 마구 접근할 수 있는 것으로 드러났다.
허술한 보안 관리 때문에 누구나 관리자 대시보드에 접근하고, 이름과 생년월일, 이메일 주소, 집 주소 등 사용자 정보에 모두 접근할 수 있는 상태가 되었다.
이번 보안 취약점을 최초로 발견한 사이버 보안 연구원 GeopJr은 문제점을 라이브 포스트로 공개했다. GeopJr은 디버그 모드(debug mode)로 언젝티드를 전환하여 페이지 추가와 제거, 무료 구독 서비스 사용자 대상 유료 서비스 제공, 데이터베이스 삭제, 사용자 정보 접근 등이 가능하다는 사실을 입증했다.
추후 GeopJr은 웹사이트 관리자 대시보드에 접속해, 사용자의 전체 공개 게시글과 프로필 사진도 변경할 수 있다는 사실을 확인했다.
GeopJr은 데일리닷과의 인터뷰에서 “언젝티드는 기본 보안 프로토콜 대부분 무시하였다”라며, “사이트 관리자가 사실상 사용자 인증 과정을 전혀 적용하지 않은 것과 다를 바 없는 상태이다”라고 전했다.
한편, 언젝티드는 지난해 8월, 코로나19 정책 위반 사유로 애플 앱스토어에서 퇴출되었으며, 여전히 사용자 기반 층은 적은 편으로 알려졌다.
하지만 미국 테크 전문 매체 더버지는 언젝티드가 최근 들어 코로나 백신 거부 여론 이외에도 ‘mRNA 없는 혈액 일치 및 불임 안내’ 등 건강 관련 거짓 정보 유포 영역과 사용자 기반 층 확장에 나선 점을 언급하며, 추후 잠재적인 데이터 유출 피해가 커질 수 있다고 경고했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
