작년에 Tossi라는 서비스의 개인정보유출 사건과 같은 사건이 또 다시 발생했다. 이번 사건의 주인공은 도너스캠프의 나눔배너이다. 이 사건 역시 관리자 페이지의 주소가 유출된 것이 발단이었는데, 관리자가 관리자 페이지에 있는 블로그 주소를 클릭하여 유입 경로 목록에 관리자 페이지의 주소가 그대로 남아 버렸다. 관리자 페이지의 주소가 통계 소프트웨어에 남아 버린 것은 사실 전혀 문제가 되지 않는다. 테크캐빈의 통계 페이지를 가끔 살펴보다보면 많은 기업들의 인트라넷 주소들이 남아있다. 하지만 역시나 여기서 문제가 되는 것은 그 관리 페이지의 보안 상태이다.
위에 보이는 나눔배너 관리 페이지들은 예전 Tossi의 관리 페이지처럼 어떤 인증 절차도 필요하지 않았다. 가장 오른쪽에 있는 스크린샷을 보면 로그인 화면이 분명히 존재하지만, 상세 주소를 입력하면 로그인 과정이 없이 그냥 바로 접근이 가능하다. 알림창 관리, 플래시 배너 관리, 통계 관리, 신청자 리스트 보기, 뉴스레터 발송 등의 관리자 기능들이 모두 작동 가능하였고 나눔배너를 신청한 블로거들의 개인정보 또한 자연스럽게 볼 수 있었다. 개인정보 중 대부분은 블로거들의 이메일 주소이지만, 지식기부를 신청한 사람의 개인정보는 이름, 핸드폰번호까지 볼 수 있었다.
해당 사항에 대해 도너스캠프 측에 연락을 하여 현재는 해당 문제점이 고쳐진 상태이다.
July 10th, 2008 at 9:58 pm
저도 리퍼러 무서워서 관리자 페이지에서는 복사-붙여넣기를 쓰곤 합니다.