정보보안 스터디 - 28주차 2일 - 미국 변호사 협회 146만명 데이터 유출

원문 - https://securityaffairs.com/145125/data-breach/american-bar-association-data-breach.html

 

변호사와 법학과 학생들의 자발적인 변호사 협회인 The American Bar Association(ABA) 에서 146만명의 회원이 데이터 유출이 되었습니다. 

 

 2018년에 쓰였다가 안쓰는 legacy member system 의 크리덴셜을 얻게 되었고 

침투는 3월 6일부터 시작되었습니다. 

 

유출된 정보는 username과 hashed, salted된 password 입니다. 여기서 패스워드가 쉽게 되어있다면 솔트값이 포함되어 있더라도 공격자는 찾기 쉽습니다. 안좋은 점은 변호업계 회원들 모두 기본 패스워드를 선호했다는 점입니다.

 

따라서 이런 데이터 유출이 있다면 사이버 관련 변호사와 빠르게 알리는 이유 중 하나는 이미 유출되었으니 빠르게 비밀번호를 바꾸고, 같은 크리덴셜을 사용하는 사이트가 있다면 대응해. 라는 이유도 있습니다.

하지만 어떻게 접근했고 공격방식이 뭔지, 보안상태는 어떤지는 법적인 불이익이 있어서인지 디테일하게는 밝히지 않는 게 현실입니다.