모든 주요 온라인 데이트 서비스는 개인 정보에 접근하려는 악의적인 해커의 표적이 되었지만, 2016년 10월 AdultFriendFinder에 대한 데이터 침해 공격만큼 심각하고, 광범위하고, 공개적으로 피해를 입힌 공격은 거의 없었습니다.

이 공격으로 AdultFriendFinder뿐만 아니라 인기 있는 FriendFinder 네트워크 전체 사이트의 3억 6천만 명 이상의 사용자 기록이 노출되었습니다. 오늘날까지 이는 20년이 넘는 AFF 역사에 걸쳐 이메일 주소, 사용자 이름, 비밀번호, 성적 취향은 물론 수백만 명의 언어까지 유출한 사상 최대 규모의 데이터베이스 침해 사건 중 하나입니다.

더 나쁜 것은 침해 당시 이미 10년이 넘은 SHA-1 암호화 해싱을 사용하고 계정 비밀번호를 일반 텍스트로 저장하는 등 회사의 완전히 허술한 보안 관행을 노출했다는 것입니다.

모두를 위한 연결 앱

성인친구찾기

—
캐주얼한 연결을 위한 독자의 선택

부싯깃

—
만남을 찾기 위한 최고의 선택

돌쩌귀

—
정기 모임으로 인기 있는 선택

다행히 모회사인 FriendFinder Networks는 이 침해를 심각하게 받아들이고 보안 관행을 극적으로 강화했습니다. 미래의 사용자를 보호하기 위해 세 가지 주요 변경 사항은 다음과 같습니다.

AFF는 데이터베이스 보안을 점검했습니다.

웹사이트의 데이터베이스를 일종의 은행 금고로 생각하십시오. 도둑이 노리는 모든 귀중한 물건이 저장되어 있는 곳입니다. 공격이 발생하기 전인 2016년 AdultFriendFinder는 단일 잠금 금고와 동등한 기능을 갖고 있었습니다. 안전하고 위협적으로 보였지만 악의적인 공격자는 오래 전에 코드를 해독하는 방법을 알아냈습니다.

매싱 가능한 추세 보고서

이제 그들은 최신 암호화 기술을 사용하여 보안을 강화합니다. 여기에는 각 비밀번호를 고유한 임의 문자열(솔트라고 함)과 결합한 다음 단방향 해시 기능을 통해 전달하는 “솔티드 해싱”이라는 기술이 포함됩니다. 이는 동일한 비밀번호를 사용하는 계정(비밀번호에 “비밀번호”를 사용하는 사람들)이 침해 중에 모두 동일한 취약점을 공유하지 않도록 하는 정교한 방법입니다.

AFF는 외부 보안 전문가를 고용했습니다.

추악한 진실은 사이버 보안과 관련하여 기업이 더 이상 자급자족할 수 없다는 것입니다. 귀하의 내부 보안 팀은 아무리 똑똑하고 열심히 일하더라도 귀하의 데이터에 액세스하기 위해 연중무휴 24시간 활동하는 다양한 해커와 기타 악의적인 행위자에 맞서 싸울 가능성이 없습니다.

2016년 데이터 침해 사건으로 인해 AFF는 이 사실을 인식할 만큼 겸손해졌으며, 그 이후로 Google 자회사 Mandiant를 포함하여 외부 사이버 보안 지원과 계약을 맺어 왔습니다. 이러한 사이버 보안 회사는 코딩의 잠재적 취약성을 검사하는 것만이 아닙니다. 또한 잠재적인 취약점을 평가하기 위해 기업 구조와 직원 관행을 조사합니다.

강제 비밀번호 재설정

모든 사이버보안 취약성이 결함인 것은 아닙니다(또는 독점적인 결함) 웹사이트의 문제입니다. 때로는 자신의 게으름이 가장 큰 취약점이 될 수도 있습니다. AFF의 보안 강화에는 비밀번호 재설정이 포함되어 있어 해마다 동일한 비밀번호를 사용할 수 없습니다.

이는 이제 기본적으로 인터넷 전반의 표준 운영 절차입니다. 6개월에 한 번 또는 1년에 한 번씩 새 비밀번호를 선택하라는 메시지가 표시될 것입니다. AFF는 다른 데이트 사이트의 유출(솔직히 말하면 여러 사이트에서 동일한 비밀번호를 사용하는 사람이 몇 명이나 됩니까?) 또는 키로거와 같은 하드웨어 악성 코드와 같이 제어할 수 없는 비밀번호 취약성으로부터 보호하기 위해 이 접근 방식을 공식화했습니다.

올해 말에는 AdultFriendFinder의 마지막 보안 침해 사건 이후 정확히 10년이 지났습니다. 과거의 실수에 대해 어떻게 생각하는지 말해보세요. 10년 동안 사이버 보안에서 성공을 거둔 것은 성취이며, 사이트의 현대 사용자는 AFF가 그토록 큰 발전을 이룬 것에 대해 감사해야 합니다.

주제
앱 및 소프트웨어 사이버 보안