# 국보연 클라우드 보안 사고 ### 중간발표 자료 완성 후 수정 로그 // dow jones: 15 -> 19 // Deloitte-1 & 2: 같은 사고라서 하나로 합침 ## Accident Pool * 12-linkedIn_PasswordHack-1 * Top Threats to Cloud Computing: Deep Dive 2018 * 해커가 linkedIn 직원의 credentials를 탈취하고, 네트워크에 접근하여 username/password database 를 유출함 * 15-MongoDB-1 * Top Threats to Cloud Computing: Deep Dive 2018 * open MongoDB 27017 port를 추가적인 authentication, access control 없이 기본 설정으로 사용함 * 16-DirtyCow-1 * Top Threats to Cloud Computing: Deep Dive 2018 * unprivileged 로컬 사용자는 이 결함을 사용하여 read-only 메모리에 대한 write 액세스 권한을 얻고 시스템 권한을 상승시킬 수 있음 * 이 버그를 공격해도 시스템 로그 내에 비정상적인 이벤트의 흔적이 남지 않음 * 16-Zynga-1 * Top Threats to Cloud Computing: Deep Dive 2018 * 불만을 품은 Zynga의 내부 직원/팀장(악의가 있는 내부자)가 본인에게 할당된 액세스 권한을 이용하여 기밀성이 높은 비즈니스 문서를 다운로드 하고, 경쟁업체로 가기 전에 관련 데이터를 모두 삭제 * 15-NetTraveler-1 * Top Threats to Cloud Computing: Deep Dive 2018 * 외부 공격자가 spear phishing e-mail을 사용하여 공격을 수행하는 멀웨어 * 해다 e-mail은 RAR executables를 포함하는 사이트로의 URL link 또는 executable payload를 전송하는 악성 word 첨부파일을 포함 * 공격 희생자들이 파일을 열면, NetTraveler가 MS Windows Common Controls ActiveX 의 취약점을 이용해 원격의 공격자가 임의의 코드를 실행할 수 있도록 함. * 16-Yahoo-1 * Top Threats to Cloud Computing: Deep Dive 2018 * 여러 직원들이 두 가지 breach incidents드러을 알아차리지 못했거나 경시 * 초기 공격은 취약한 패스워드의 사용에서 기인함. 특히 사용 유효기간이 지난 MD5 hashing 을 사용함. * 사고 결과 회사 지적 재산과 관련하여 공격자가 기밀을 침해할 가능성이 있음 * 5억 명의 사용자 이름/비밀번호 도용당함 * 16-Zepto-1 * Top Threats to Cloud Computing: Deep Dive 2018 * .wsf 파일이 여러 언어로 작성된 detection evasion script를 포함하고 있었고, 하나의 언어에만 의존하는 emulation engine을 통과할 수 있었음. * 악성 파일은 또한 SaaS(Microsoft OneDrive, Google Drive, Box and Dropbox) 를이용해서 다른 시스템들을 감염시킴 * 16-DynDNS-1 * Top Threats to Cloud Computing: Deep Dive 2018 * 공격자가 Mirai malware 를 사용하여 IoT device 들을 감염시키고 봇넷을 형성 * 봇넷은 DDoS 공격을 감행하는데 사용됨 * default credential 사용에서 기인한 공격 * 17-Cloudbleed-1 * Top Threats to Cloud Computing: Deep Dive 2018 * 공격자가 Cloudflare의 취약한 서비스에 HTTP(HyperText Transfer Protocol) 요청을 보내 공격 * 악의적인 HTTP 요청을 통해 buffer over-read vulnerability로 요청자에게 필요한 것보다 많은 메모리가 반환되어 메모리 누수를 발생시킴 * 19-Autoclerk-1 * https://www.vpnmentor.com/blog/us-travel-military-leak/ * https://www.zdnet.com/article/autoclerk-database-leaked-customer-government-and-military-personal-records/ * 여행 예약 플랫폼에서 미국 정부 인사 데이터가 유출 * Autoclerk: Server and cloud-based hotel property management system (Hotel PMS System). * 당사가 사고 인지를 직접 한 것이 아니라 외부 기관이 이를 신고한 후에야 유출을 팡가하였고, 유출 신고 이후 19일 이후에서야 문제되는 데이터베이스가 폐쇠되었다는 문제점이 있음. * 데이터베이스 접근에 대한 암호화 등 보안이 안되어 있었음 * It was possible to access the database, given it had no encryption or security barriers whatsoever, and perform searches to examine the records contained within. * 19-Instagram-1 * https://www.cpomagazine.com/cyber-security/instagram-breach-exposes-personal-data-of-49-million-users/ * https://www.notion.so/5446966d9ffd4f91a8b92658a3336c82#7f0ce3fe339a4f3bb813674bf969c667 * 비즈니스 파트너 중 한 명이 거의 5천만 개의 사용자 레코드가 있는 AWS 데이터베이스를 노출시켰음 * 데이터에 액세스하는 데 비밀번호가 필요 없어 데이터베이스에는 바이오스, 프로필 사진, 팔로워 수 등 사용자가 공개적으로 공유하는 데이터가 유출됨 * 더 우려되는 것은, 그 기록들이 이메일 주소나 전화번호와 같은 사적인 데이터에도 연결되었음 * 19-CapitalOne * AWS 재직했던 공격자가 SSRF 취약점을 통해 AWS EC2 메타데이터 서비스에 액세스하여 AWS Access Key에 접근함 * 애플리케이션이 WAF 뒤에 있었지만, WAF에 SSRF 공격 차단은 설정되지 않았음 * 19-Disney+ * Synchronous credential stuffing attack * 하나의 계정으로 다른 곳의 계정도 해킹함 * 디즈니는 Disney story&recreation park 계정과 disney+ 계정을 하나로 공유 * 19-DowJones * DowJone가 사용한 AWS의 Elasticsesarch database에 IAM가 없음 * 3 party vendor가 db에 접근하여 데이터 유출 * 18-Github * Memcached 서버가 퍼블릭으로 공개되어 있어서 ddos공격 * 18-Imperva * https://www.boannews.com/media/view.asp?idx=83800&kind=0 * 클라우드로 일부 DB를 옮기면서 API 키가 노출된 것으로 인해 데이터 침해 발생 * Imperva 개발자들의 클라우드 관련 기술의 미숙이 문제 * 19-Tesco * https://thedataprivacygroup.com/blog/2019/9/23/tesco-shutters-parking-app-following-license-plate-image-leak * 클라우드(Azure blob storage)에 저장된 고객 데이터(ANPR사진)에 인증 없이 접근 가능 * 18-Tesla * 해커가 보안되지 않은 쿠버네티스 관리자 인터페이스에 접근 * 이 접근으로 S3에 접근할 수 있었음 * 20-Zoom * http://www.newstof.com/news/articleView.html?idxno=10619 * 18-Timehop-1 * https://www.boannews.com/media/view.asp?idx=71204 * 사용자의 관리자 계정이 단순하고 다중 인증 절차 설정을 하지 않아 해커들에게 표적이 되었음. * 2100만명의 사용자의 데이터 유출. * 18-Macy's-1 * https://www.boannews.com/media/view.asp?idx=71204 * 사용자의 관리자 계정이 단순하여 해당 온라인 쇼핑몰을 사용한 고객들의 개인 정보 유출. * third party * 16-Uber-1 * https://www.boannews.com/media/view.asp?idx=58202 * 사용자의 관리자 계정 관리 문제로 발생, 우버 소프트웨어 엔지니어들이 사용하는 깃허브에서 얻을 정보를 통해 클라우드 기반 스토리지 계정에 대한 액세스가 가능하였음. * 5700만 사용자의 개인 정보 유출. * 19-Voipo-1 * https://www.zdnet.com/article/voipo-database-exposed-millions-of-call-and-sms-logs-system-data/ * 사용자의 서비스의 취약점을 통해 해킹수단으로 악용 * 사용자 서비스의 보안 패치(지난해에 이미 배포됨,CVE-2019-19006)가 제대로 설치되지 않아 해킹 수단으로 악용이 가능하였음. * 700만 개의 통화 로그, 600만 개의 텍스트 메시지 및 암호화되지 않은 암호가 포함된 기타 내부 문서 노출. * 17-Experian-1 * 오징어(Top Threats to Cloud Computing 11 2020) * 잘못 구성된 AWS S3 클라우드 스토리지 버킷에 1억2천3백만 미국 가정의 상세 데이터와 개인 데이터를 노출. * https://www.zdnet.com/article/alteryx-s3-leak-leaves-120m-american-households-exposed/ * 19-ElasticSearch-1 * https://www.boannews.com/media/view.asp?idx=85119 * AWS의 S3 서비스 사용자의 관리 문제로 DB에 저장된 27억개의 이메일 주소를 인터넷에 노출 * DB에 접근이 가능한 누군가(내부자인지 외부자인지 모름)가 개인정보들(이메일 주소)을 각각 MD5, SHA1, SHA256들로 해시 처리하여 검색에 용이하게 만듦 * 19-AWS-1 (사고지 AWS아님. 다시 확인할 것) * https://www.boannews.com/media/view.asp?idx=85119 * AWS의 S3 서비스 사용자의 설정 오류로 미국 출생신고서 사본 80만부가 인터넷에 노출되어 있었음. * 18-LevelOneLobotics-1 * https://techcrunch.com/2018/07/20/data-breach-level-one-automakers/ * 오징어(Top Threats to Cloud Computing 11 2020) * 서비스 사용자의 잘못된 구성으로 인해, 폴크스바겐, 크라이슬러, 포드, 도요타, 제너럴모터스, 테슬라, 티센크루프 등 100여 개 제조사가 보유한 매우 민감한 정보를 공개. * nsync(백업) 서버의 misconfiguration 문제 → 모든 rsync 클라이언트로 인증되지 않은 데이터 전송 . * 17-Accenture-1 * https://www.upguard.com/breaches/cloud-leak-accenture * 오징어(Top Threats to Cloud Computing 11 2020 * AWS S3 버킷의 보안 설정이 제대로 이루어지지 않아 대량의 개인 정보를 노출. * 매우 민감한 암호와 암호 해독 키를 노출시켜 기업과 개인고객에게 상당한 피해를 입힐 수 있었음. * 버킷에는 회사의 enterprise cloud offering을 위한 수백 GB의 데이터가 들어있었으며, 이 데이터는 fortune 선정 100대 기업 중 대다수를 지원하는 것이며, 이 데이터는 서버의 웹 주소를 알고 있는 모든 사용자가 암호없이 다운가능했음. * 18-Honda-1 * https://blog.lgcns.com/2131 * 사용자의 S3 버킷의 설정 오류로 인해 혼다 자동차에서 개발한 모바일 앱을 설치한 사용자의 개인 정보가 노출. * 17-Deloitte-1 * 오징어(Top Threats to Cloud Computing 11 2020) * 보안 수준이 낮은 관리자 이메일 계정으로 인해 침해를 겪음. * 관리자의 계정이 1단계 암호만 필요했음. * Microsoft가 MFA 옵션을 제공했음에도 불구하고 관리자 계정의 비밀번호를 Office 365 이메일 서비스에 노출. * 그 결과 해커들이 Office 365 계정을 침해하고 이를 통해 많은 양의 고객 정보 노출시킴. * 조직 내의 대부분은 ID와 password에만 의존하고, 클라우드 내에서 제공되고 쉽게 구현되는 SSO, OD 연합 및 MFA와 같은 업데이트된 보안 기능을 무시. * 17-OneLogin-1 * 오징어(Top Threats to Cloud Computing 11 2020) * 해커가 사용자의 AWS 계정을 통해 AWS 플랫폼에 엑세스하여 DB 손상입힘. * 계정의 보안 강도가 약하였다고 함.(오래 재사용되며 기억하기 쉬운 패스워드) * 14-CodeSpace-1 * https://blog.trendmicro.com/the-code-spaces-nightmare/ (AWS EC2) * 오징어(Top Threats to Cloud Computing 11 2020) * multi-factor authentication으로 부터 관리 콘솔을 보호받지 못하고 해킹 당하고 파산. * 18-Facebook-1 * https://www.nytimes.com/2018/09/28/technology/facebook-hack-data-breach.html * 오징어(Top Threats to Cloud Computing 11 2020) * 5000만 개 이상의 계정에 영향을 미치는 중대한 data breach 겪음. * 1년 전인 17년 7월에 0가 발견되면서 어떤 정보가 도난당했으며, 얼마나 많은 다른 사용자 계정들이 침해를 입었는지 알지못한다고 인정하였음 * 18-AWS-1 * https://blog.lgcns.com/2131 * https://zdnet.co.kr/view/?no=20181122113510 * 서울리전,AWS엔지니어의 EC2인스턴스가 내부 DNS 서버 설정 오류로 잠시동안 서비스 중단. * 이로 인해, 쿠팡, 배민, 이스타항공, 야놀자, 업비트 등에서 접속 오류 현상 발생. * 15-AWS-1 * https://www.theregister.com/2015/09/23/aws_outage_explained/ * https://blog.lgcns.com/2131 (안랩표) * CSP의 실수로 내부 작업 중 장애 발생으로 고객들(넷플, 에어비앤비 등) 서비스 중단 * AWS의 내부 서비스 장애로, API 오차율을 향상시키기 위한 작업을 하던 중 장애가 발생하면서 20여개 이상의 인터넷 사이트와 애플리케이션이 일시적으로 접속이 중단. * 17-AWS-1 * https://blog.lgcns.com/2131 (안랩표) * CSP의 서비스 정전 사태 발생으로 인해, S3서버를 사용하는 고객들(애플, 에어비앤비, 핀터레스트 등) 서비스 중단 * AWS가 정전의 원인이 무엇이었는지 밝혀지지 않았다함.(https://www.bloter.net/newsView/blt201703010009) * 18-Tencent-1 * https://news.einfomax.co.kr/news/articleView.html?idxno=3463052 * 내부 직원의 실수로 고객사 데이터 및 백업파일 삭제 * 내부 직원들이 데이터 재배치와 관련한 규정을 기는 바람에 발생하였다 함. * * 10-MS-1 * https://www.pcworld.com/article/214775/microsoft_cloud_data_breach_sign_of_future.html * https://blog.storagecraft.com/7-infamous-cloud-security-breaches/ * MS 클라우드 시스템 설정 오류(BIOS내의 구성 문제) * 이로 인해, 권한이 없는 사용자가 내부 직원의 개인정보들에 액세스할 수 있었음. * 12-Dropbox-1 * https://blog.storagecraft.com/7-infamous-cloud-security-breaches/ * https://blog.alyac.co.kr/784 * 사용자의 암호 탈취되어 발생(내부 직원의 관리 소홀로 의심됨) * 6800만개 이상의 계정의 패스워드 침해 * 16-National Electoral Institute of Mexico-1 * https://www.digitaltrends.com/computing/mexico-voting-breach/ * https://blog.storagecraft.com/7-infamous-cloud-security-breaches/ * 사용자의 잘못된 구성(누구에게나 공개적으로 액세스 가능하도록 잘못 설정된 DB로 인한 손실.) * 9300만 명 이상의 유권자 등록 기록 관련 데이터 유출. * 19-State Farm-1 * https://www.zdnet.com/article/state-farm-says-hackers-confirmed-valid-usernames-and-passwords-in-credentials-stuffing-attack/ * 크리덴셜 스터핑 공격 받음(사용자들의 암호 노출됨) * 21-Facebook-1 * https://www.econovill.com/news/articleView.html?idxno=526179 * https://threatpost.com/facebook-accounts-leaked-check-exposed/165245/ * https://www.theguardian.com/technology/2021/apr/08/facebook-2019-breach-users * 5억명 이상 개인정보 유출(2년전 데이터) * AWS의 클라우드 서버가 공개되어 있었음(과거에 패치됨) * 후속조치 안함 * 21-AWS-1 * https://zdnet.co.kr/view/?no=20190824090716 * 도쿄 리전에 장애 * 특정 AZ의 냉각장치가 작동X -> 열상승 * 일부 EC2인스턴스와 EBS 볼륨이 작동하지 않음 * 우리나라의 쿠키런 킹덤이 영향받음 * https://www.44bits.io/ko/post/news--2021-02-20-aws-ap-northeast-1-outage * 21-IBM-1 * 사용자가 나열된 클라우드 서비스를 접근할 때, connection이 안되는 사고가 5일 간격으로 두번 발생. * IBM에서 조취를 취해 복구하였으나, 구체적인 사고 원인 밝혀지지 않음 * https://www.datacenterdynamics.com/en/news/ibm-cloud-suffers-second-outage-in-five-days/ * 21-AWS-2 * 프랑크푸르트에서 발생.(21-AWS-1과 유사한 원인) * 데이터 센터 환경의 주변 온도 상스으로 인한 성능 저하(API 요류율 증가, EC2 API의 latencies와 인스턴스 접속 문제) * https://www.theregister.com/2021/06/11/aws_eu_central_1_incident/ ------- ### 최신 사고는 여기다 * 20-Google Photo-1 * Google은 자사의 클라우드 서비스에 저장된 사용자의 동영상 클립이 다른 사용자들에게 잘못 공유되는 시스템 상의 결함 문제로 일부 사용자의 비공개 동영상을 낯선 사람에게 전송하는 등 개인정보 침해가 발생할 수 있었다는 점을 인정 * 용자는 클라우드의 ‘takeout’ 기능을 통해 클라우드에서 자신의 데이터를 다운로드 받을 수 있으나 알려지지 않은 기술적 결함으로 인해 다른 사용자와 해당 데이터가 공유되는 결함을 발견 * https://perfectmoment.tistory.com/1057 * https://www.bleepingcomputer.com/news/google/google-bug-sent-private-google-photos-videos-to-other-users/ * 엑셀에 추가함 [ 21년 자료라 위협요소로 추가는 일단 안넣음. 셋 다 DB Misconfiguration. * 21-cognyte-1 * https://www.boannews.com/media/view.asp?idx=98455 * 21-CVS-1 * https://m.boannews.com/html/detail.html?idx=98455 * 21-Wegmans-1 * https://m.boannews.com/html/detail.html?idx=98455 ] --------- 1. Data Breaches 2. Insufficient Identity, Credential and Access Management - 14-CodeSpace-Insufficient Identity-1 - 17-Accenture-Misconfiguration-1 3. Insecure Interfaces and APIs 4. System Vulnerabilities 5. Account Hijacking 6. Insider Threat Customer) 7. Insider Threat (CSP) 8. Physical Security 9. Abuse and Nefarious Use of Cloud Services 10. Denial of Service 11. Misconfiguration and Inadequate Change Control - 12. Weak Control Plane 13. Metastructure and Applistructure Failures