[필독] 유토피안 해킹 / 스팀커넥트 (SteemConnect SC2) 사용시 주의 ~ (권고)

in #kr7 years ago (edited)

222.png

[그림1] 유토피안 해킹당함

해킹사건

유토피안(utopian.io) 해킹 사건으로 SteemConnect 토큰이 유출됨

토큰 유출로 인해 해당 정보가 타인에 의해 오남용 될 수 있음 !!
ex) 타인 보팅/다운보팅, 이상한 글/댓글 작성, 글 베니피셔리 설정

  • 관련글

유토피안 서버 다운...

111.png

[그림2] 유토피안 디스코드에서 온 메시지
Some SteemConnect tokens were leaked
몇몇 스팀커넥트 토큰이 유출당함

이상 징후 확인

https://steemd.com/@계정명 으로 들어가서 기록 확인

내가 하지 않은 행동 보팅/다운보팅 등의 행위가 있는지 확인
혹시라도 있다면 ... 토큰 취소 및 steemit.com 에서 또한 계정 비번 정보를 바꾸기를 권해 드립니다.

토큰 철회 방법

  • 기존의 유토피안 한번이라도 쓴 분들은 반드시 모든 토큰 정보를 취소하길 권고 드립니다.
  • 그것이 아니라도 일단 SC2(스팀 커넥트)에는 잠재적인 위험이 있으므로 조심하길 바랍니다.

https://v2.steemconnect.com/apps/authorized

  • 위 사이트로 들어가서 [revoke] 버튼을 눌러 토큰을 철회하는 것을 권고 드립니다. ( 강요는 아니지만 전 모두 철회 했네요 일단.. )

유토피안,가즈아, 비지,디튜브 ...

  • [참조] 여기서 토큰이란 ?

SC2(스팀커넥트)를 통해 계정의 사용 권한을 인증(비번입력) 후 토큰을 발행 받습니다. 비번은 아니지만 사용권한을 부여한 것이죠... 그래서 토큰만 있으면 토큰의 권한 수준(posting, active, master) 에 유효한 모든 행위를 할 수 있습니다.

꼭 못보신 분들을 위해 리스팀 부탁 드립니다.

(수정) 권한 scope 부분은 확인한 결과 posting에 준하며 이체 같은 경우 hot link로 대체 하여 제공하고 있습니다.

Screenshot_20180506-231741.jpg

추가) 스팀 커넥트 부분은 시간 되면 테스트 및 분석 후 해당 내용을 정리하여 글을 별도로 재작성 하도록 하겠습니다.

Sort:  

오해가 있으신 것 같네요 steemconnect에 잠재적인 문제가 있다고 언급하셨는데 이번 이슈는 utopian.io 데이터베이스 해킹으로 발생한 사건이지 steemconnect 자체가 문제가 있어서 발생한 사건이 아님을 알려드립니다 실제로 해커가 steemconnect 서버에 침입한 것도 아닙니다. 또한 지갑이나 계정 보유자가 소유한 키는 이번 해킹 사건 피해 대상이 아니므로 안전합니다. 따라서 이번 utopian.io 해킹으로 인해 피해를 입을 가능성이 있는 스팀잇 계정 대상은 1) utopian.io 에 steemconnect를 이용해 로그인한 이력이 있는 사용자 2) 해킹이 의심되는 기간에 자신의 허락없이 업보트 및 다운보트 활동이 발생한 사용자입니다. 추가정보는 제 블로그에 있는 https://steemit.com/kr/@dakeshi/steemconnect-automated-votes-abuse-on-steemconnect 글을 참고하세요

steemconnect 자체가 문제가 있어서 발생한 사건이 아님

네 그부분은 알고 있습니다. 그래서 제목도 (권고) 라는 점을 명시 하였습니다.

제가 말하고자 하는 잠재적인 위험은 유토피안 처럼 sc2를 사용하는 사이트가 해킹이 되는 것을 가정하고 말씀하신 것처럼 의도하지 않은 업보팅 다운보팅이 이뤄질 수 있는 것을 의미 합니다

보통 토큰을 발행하면 유효시간등을 지정하여 일정 시간 보통 사이트마다 다르겠지만 1시간 이내로 하여 해당 시간 토큰이 사용되지 않으면 expire 처리를 하는데 sc2에는 그런 기능이 없는 걸로(아니라면 피드백 바랍니다) 알고 있습니다.

이것이 제가 말하는 sc2의 잠재적 문제점이라 생각 하는 것이고여 물론 위에 제가 명시한 링크에 접속하여 권한을 revoke 할 수 있지만 일반 사용자로써는 매우 불편하고 잘 모르는 분이 과반수 이상일 것이라 생각 합니다.

답변 감사합니다. 댓글 내용 잘 보았습니다. 제 생각에는 이번 사건은 sc2 를 인증에 사용한 기업/단체가 보안의식이 없거나 보안 관리를 미흡하게 해서 발생한 문제기 때문에 steemconnect를 인증에 사용한 업체들이 보안 관리를 제대로 하지 못하면 이러한 문제가 발생할 수도 있다는 점을 공지하는게 가장 중요한 일인 것 같습니다. @haejin 님 글이 타겟이 된 것을 보면 의도가 참 명확해 보이고 utopian.io 내부자는 아니었다는 공지가 있었지만 누가 벌인 일인지는 좀 더 조사가 필요한 것 같습니다. 또한, 이 문제가 다른 앱에서도 일어날 수 있다는 점을 steemconnect 팀에서도 인지하고 있으며 개선 작업이 진행 중에 있습니다.

이번 해킹 사건은 사용자 측면에서는 다운보트/업보트가 동의없이 발생했고, utopian.io 쪽도 전체 파일 시스템 삭제, 전체 CDN 삭제 등 상당한 피해를 입혔습니다. 백업 패턴이라든가 시스템이 어디 저장되어 있는지 해커가 정확히 알고 있었기 때문에 utopian.io 쪽에서는 처음에 내부자 소행으로 확신을 가지고 있었는데 공식 발표에는 내부자 소행이 아닌 것으로 나왔군요. 백업 데이터와 파일 시스템이 다 날아가서 정확히 어떤 형태의 공격이 발생했는지 utopian.io 팀이 원인을 파악하기 힘든 상황이라고 합니다. 이게 정말 문제지요.. 문제 원인을 알아야 대응을 하는데 원인이 파악이 안되고 있는 상황이라서요. 확실히 파악된 것은 steemconnect 토큰이 유출되었다는 사실 뿐입니다.

추가로, 본문 내용 중에 steemconnect 토큰 유출로 가능한 작업 중 스팀/스달 인출 이 포함된 부분이나 계정 소유자 허가없이 발생한 보팅/다운보팅 행위 발생시 비밀번호 변경이 필요하다고 말씀하신 부분은 수정이 필요해 보입니다. busy.org와 utopian.io 공지에서도 이 부분은 명확히 안내되어 있습니다. steemconnect 토큰으로 가능한 것은 posting 권한으로 할 수 있는 작업만 해당하기 때문에 자금인출/전송/delegate는 불가능하며, 계정 보유자가 소유한 키가 직접 관련된 이슈가 아니기 때문에 비밀번호 변경은 필요하지 않습니다.

revoke 와 관련해서는 steemconnect 팀에서 모든 사용자를 대상으로 utopian.io 와 관련된 토큰에 대한 revoke 조치를 마쳤기 때문에 사용자가 utopian.io 해킹 사건과 관련해서 steemconnect dashboard에서 revoke할 대상은 없습니다. 다른 앱들에서는 문제가 보고되지 않았으니까요. 그래도 불안하시다면 승인한 모든 앱에 대해 revoke 하라고 안내하는 것도 괜찮을 것 같네요.

expire 문제는 음.. 글쎄요. 이 부분이 보안성을 높이는 데 도움이 될 것으로 보이지만 사용자 불편을 초래할 수도 있는 부분이라 어떻게 개선이 될 지는 좀 더 지켜봐야 할 것 같습니다.

자금인출/전송/delegate는 불가

위 부분은 hot link(active 키를 재입력 받음) 로 처리 됨을 확인 했고 본문도 약간 수정하여 기재 했습니다.

하지만 comment option 설정이 가능하기 때문에 댓글 및 보팅이 없는 글에 대해 베니피셔리를 100% 설정 가능한 시나리오도 가능 하며 이는 매우 난감하갰죠... 보상을 타인이 다 가져가니 ㅡㅡ;

그리고 마지막으로

기업/단체가 보안의식이 없거나 보안 관리를 미흡

위 사항이 가장 중요하다 생각 됩니다.

comment_options 에서 베니피셔리 설정 시나리오가 가능한가보군요. 아직 sc2를 구현해보지 않아서 몰랐습니다. ㅎㅎ. 이번 사태에서 드러난 utopian.io의 보안 의식이나 침해 사고 대응 절차는 많은 것을 느끼게 해주네요. steemconnect 커뮤니티에서 utopian.io 해킹 사건 대응을 위해 여러 가지 의견을 내면서 적극적으로 도와주려고 하는 모습도 대단히 인상적이었습니다.

컼 커넥트 해킹당하면 답이 없는거네요?ㄷㄷㄷ

토큰 정보 취득하면 노답이긴 하죠 ㅜㅜ

토큰 유효시간 도입 등 다양한 장치가 필요할거 같아요

이건 굉장히 무서운 일이군요.; 일단 비번 변경을 하면 괜찮겠죠?

토큰 개념을 잘 모르겠네요...

계정의 사용 권한을 인증(비번입력)을 통해 토큰이라는 것을 통해 부여 한 것입니다.

비번은 아니지만 사용권한을 부여한 것이죠...

그래서 토큰만 있으면 토큰의 권한 수준에 유효한 모든 행위를 할 수 있습니다.

한 번 로그인을 했으면 그 권한이 사라지지 않고 남아있는 것이라고 봐야하는거군요.

자세히 설명해 주셔서 감사합니다.

유토비안이 모에요 ?
또 폭풍검색을 일단 해봐야겠군요.
좋은 정보 감사합니다.
남은 연휴 즐겁게 보내세요.

개발관련 글 등을 쓰면 보팅을 지원해주는 사이트 입니다.
https://utopian.io

그런데 얼마전 해킹 당해서
스팀커넥트 토큰이 유출 되었죠...

스팀커넥트가 저런방식으로 구동되는 것도 몰랐네요
유토피안은 일단 한번도 안써보긴 했는데 찜찜하긴 하네요. busy는 괜찮으려나 모르겠네요

저는 1회성 스팀커넥트는 괞찬타 생각 하지만...
토큰의 유효시간이 1시간 이상인 사이트는 분명 조심해야 한다고 생각 합니다.

비지는 위에서 다케시님의 답글을 참조하시면 좋을것 같습니다.