kakao kakaotalk / open chat profile id to real profile id /
카톡 오픈채팅 해킹 관련 정보 모음, 2023-03
[단독]카톡 오픈채팅 해킹…1명당 단가 7000원·2시간 만에 ‘뚝딱’
전문가들은 추출한 유저아이디를 통해 해커가 이용자의 ‘실제 프로필 아이디’ 또는 ‘전화번호’ 정보에 접근했을 가능성에 주목했다. 실제 개발자 커뮤니티 ‘깃허브’ 등에서는 오픈채팅 유저아이디와 실제 프로필 아이디를 연결하는 로직(규칙성)을 추정하는 연구가 오랫동안 이뤄졌다.
from: [단독]카톡 ‘오픈채팅’ 보안 구멍 뚫렸다
위조 클라이언트를 이용해 특정 오픈채팅방에 접속하면 숫자로 구성된 유저아이디를 추출할 수 있다. 최근 이 유저아이디와 연결된 카카오톡 이용자의 프로필 정보를 캐낼 수 있는 보안 취약점이 발견됐다. 이용자가 카카오톡에 등록한 이름, 전화번호, 이메일도 이와 같은 경로로 유출됐다.
… 카카오는 이용자 신상정보를 유출하는 열쇠로 추정되는 ’유저아이디’를 오픈채팅방에서 더 이상 추출할 수 없도록 12일 조치를 취했다고 입장을 알려왔다. 신상이 유출된 오픈카톡방과 불법이용자에 대해서도 이를 특정하는데 성공했다고 설명했다.
카카오 관계자는 “해당 어뷰징 행위를 인지한 직후, 해당 채팅방 및 어뷰저에 대한 조치를 진행했다”며 “다만 오픈 채팅 상에서 참여자 전화번호나 이메일, 대화내용 등을 확인하는 것은 불가능한 사안으로, 오픈 채팅 외의 다른 수단이 함께 활용한 것으로 판단하고 있다”고 말했다.
from: https://www.hankyung.com/it/article/202303148352i
14일 정보기술(IT)업계에 따르면 지난 1월 카카오 플랫폼 서비스 관련 개발자 커뮤니티인 ’카카오 데브톡’에는 ’카카오톡 오픈채팅방의 보안 허점과 개인정보 누출’이라는 제목의 글이 올라왔습니다.
카카오톡 메시지 전송에 쓰이는 ’로코 프로토콜’을 악용해 오픈채팅방 참여 이용자의 카카오톡 프로필 ID, 카카오톡 로그인에 쓰이는 이메일 주소, 전화번호까지 추출 할 수 있다는 경고를 담은 글입니다. 데브톡은 카카오톡, 카카오맵, 카카오페이 등 카카오 각종 서비스의 API(응용프로그램 인터페이스)와 SDK(소프트웨어 개발 도구) 등 정보를 나누는 커뮤니티입니다.
글을 올린 개발자는 해커로 추정되는 이들이 오픈채팅방에서 채팅방 익명 이용자의 실제 카카오톡 아이디와 메일주소, 전화번호를 뽑아내는 과정을 담은 스크린샷을 글에 첨부했습니다.
from: 카카오, 오픈채팅 개인정보 유출 정황에 수사기관 신고 | 아주경제
카카오가 카카오톡 오픈채팅 이용자 개인정보가 유출된 정황과 관련해 수사기관에 신고했다고 13일 밝혔다. 개인정보 유출 통로로 의심되는 카카오톡의 취약점을 이미 수년 전 보완해 기술적으로는 더 조치할 게 없다는 입장이다. 다만 내부 조사를 통해 신규 어뷰징 방식으로 인한 개인정보 유출 건이라고 판단, 별도 보안 조치를 완료했다.
from: 정부 ‘카카오톡 오픈채팅’ 보안 취약점 조사 - 전자신문
과기정통부 관계자는 13일 “카카오톡 오픈채팅방의 취약점과 그로 인한 개인정보 유출 가능성이 제기된 만큼 바로 조사를 시작했다”고 밝혔다.
from: 오픈 프로필 id와 실제 프로필 id · storycraft/node-kakao · Discussion #652 · GitHub
2020년 8월 이전에 생성된 채팅방에서는 오픈 프로필 id와 실제 프로필 id의 로직이 확실히 존재한다는 것을 알았고 이 로직을 똑같이 2021년 이후에 생성된 채팅방에서 적용 해보았으나 전혀 구해지지 않았습니다.
댓글 없음:
댓글 쓰기