RE: [필독] 유토피안 해킹 / 스팀커넥트 (SteemConnect SC2) 사용시 주의 ~ (권고)
답변 감사합니다. 댓글 내용 잘 보았습니다. 제 생각에는 이번 사건은 sc2 를 인증에 사용한 기업/단체가 보안의식이 없거나 보안 관리를 미흡하게 해서 발생한 문제기 때문에 steemconnect를 인증에 사용한 업체들이 보안 관리를 제대로 하지 못하면 이러한 문제가 발생할 수도 있다는 점을 공지하는게 가장 중요한 일인 것 같습니다. @haejin 님 글이 타겟이 된 것을 보면 의도가 참 명확해 보이고 utopian.io 내부자는 아니었다는 공지가 있었지만 누가 벌인 일인지는 좀 더 조사가 필요한 것 같습니다. 또한, 이 문제가 다른 앱에서도 일어날 수 있다는 점을 steemconnect 팀에서도 인지하고 있으며 개선 작업이 진행 중에 있습니다.
이번 해킹 사건은 사용자 측면에서는 다운보트/업보트가 동의없이 발생했고, utopian.io 쪽도 전체 파일 시스템 삭제, 전체 CDN 삭제 등 상당한 피해를 입혔습니다. 백업 패턴이라든가 시스템이 어디 저장되어 있는지 해커가 정확히 알고 있었기 때문에 utopian.io 쪽에서는 처음에 내부자 소행으로 확신을 가지고 있었는데 공식 발표에는 내부자 소행이 아닌 것으로 나왔군요. 백업 데이터와 파일 시스템이 다 날아가서 정확히 어떤 형태의 공격이 발생했는지 utopian.io 팀이 원인을 파악하기 힘든 상황이라고 합니다. 이게 정말 문제지요.. 문제 원인을 알아야 대응을 하는데 원인이 파악이 안되고 있는 상황이라서요. 확실히 파악된 것은 steemconnect 토큰이 유출되었다는 사실 뿐입니다.
추가로, 본문 내용 중에 steemconnect 토큰 유출로 가능한 작업 중 스팀/스달 인출
이 포함된 부분이나 계정 소유자 허가없이 발생한 보팅/다운보팅 행위 발생시 비밀번호 변경이 필요하다고 말씀하신 부분은 수정이 필요해 보입니다. busy.org와 utopian.io 공지에서도 이 부분은 명확히 안내되어 있습니다. steemconnect 토큰으로 가능한 것은 posting 권한으로 할 수 있는 작업만 해당하기 때문에 자금인출/전송/delegate는 불가능하며, 계정 보유자가 소유한 키가 직접 관련된 이슈가 아니기 때문에 비밀번호 변경은 필요하지 않습니다.
revoke 와 관련해서는 steemconnect 팀에서 모든 사용자를 대상으로 utopian.io 와 관련된 토큰에 대한 revoke 조치를 마쳤기 때문에 사용자가 utopian.io 해킹 사건과 관련해서 steemconnect dashboard에서 revoke할 대상은 없습니다. 다른 앱들에서는 문제가 보고되지 않았으니까요. 그래도 불안하시다면 승인한 모든 앱에 대해 revoke 하라고 안내하는 것도 괜찮을 것 같네요.
expire 문제는 음.. 글쎄요. 이 부분이 보안성을 높이는 데 도움이 될 것으로 보이지만 사용자 불편을 초래할 수도 있는 부분이라 어떻게 개선이 될 지는 좀 더 지켜봐야 할 것 같습니다.
위 부분은 hot link(active 키를 재입력 받음) 로 처리 됨을 확인 했고 본문도 약간 수정하여 기재 했습니다.
하지만 comment option 설정이 가능하기 때문에 댓글 및 보팅이 없는 글에 대해 베니피셔리를 100% 설정 가능한 시나리오도 가능 하며 이는 매우 난감하갰죠... 보상을 타인이 다 가져가니 ㅡㅡ;
그리고 마지막으로
위 사항이 가장 중요하다 생각 됩니다.
comment_options 에서 베니피셔리 설정 시나리오가 가능한가보군요. 아직 sc2를 구현해보지 않아서 몰랐습니다. ㅎㅎ. 이번 사태에서 드러난 utopian.io의 보안 의식이나 침해 사고 대응 절차는 많은 것을 느끼게 해주네요. steemconnect 커뮤니티에서 utopian.io 해킹 사건 대응을 위해 여러 가지 의견을 내면서 적극적으로 도와주려고 하는 모습도 대단히 인상적이었습니다.