유럽과 미국의 3대 게임회사인 유비소프트(Ubisoft)가 사용자명과 이메일주소, 암호화된 비밀번호가 유출되는 사고로 고객에게 비밀번호를 바꾸어 줄 것을 강력히 권고하고 있습니다.
유비소프트는 지난 화요일의 보안유출에 대해 사용자에게 이메일을 보내고 블로그 포스팅을 하였습니다.
유비소프트는 정보를 거의 주지 않았지만 그들은 익스플로잇 되었던 사이트를 최근에 발견했고 그 침입자들이 몇몇 온라인 시스템에 접근을 했었다고 말했습니다.
유비소프트는 공격 당한 영역을 고립시키는 “긴급” 조치를 취했고 당국과 대내외 보안 전문가와 함께 조사단을 출범시켰습니다.
조사가 진행되는 동안, 유비소프트는 계정 DB 로부터 불법적으로 접근되었던 데이터를 확인했다고 전했습니다.
유비소프트는 신용카드나 직불카드 정보와 같은 개인 지불정보를 저장하지 않기 때문에 어떤 재정 데이터도 유출되지 않았다고 강조하였습니다.
그리고 유비소프트가 유출된 비밀번호는 암호화되었다고 말하지만, 그것은 정확히 확실하지는 않습니다. 만약 암호화에 솔팅(salting)과 해싱(hashing)이 사용되었다면, 특히 허술하고 대부분 다른 사이트에서 반복해서 사용하는 비밀번호는 해킹될 수 있고 그래서 변경될지도 모릅니다.
유비소프트의 커뮤니케이션 매니져 그레이 스테인먼(Gray Steinman)은 이렇게 말합니다:
비밀번호는 평문(clear-text)으로 저장되는 게 아니라 난수 값으로 저장됩니다. 이 비밀번호는 되돌릴 수는 없지만 특히, 비밀번호가 허술한 경우는 해킹될 수 있습니다. 이것이 우리가 사용자들에게 비밀번호를 바꾸길 권장하는 이유입니다.
유비소프트는 그들의 디지털 배포, 디지털 자산 관리, 멀티플레이어/커뮤니케이션 서비스 및 서버인 유플레이(Uplay)는 해킹되지 않았다고 ZDNet의 마이클 리(Michael Lee)와 함께 확인하였습니다.
어쨌든, 고객들은 비밀번호에 대한 유비소프트의 충고에 주의를 기울여야 합니다.
비밀번호 변경에 대한 필요성은 꽤 현실적입니다. 특히 사용자들이 동일한 비밀번호를 여러 사이트에 반복해서 사용한다면 말입니다.
이 시점에서 우리는 유비소프트의 암호화가 얼마나 강력한지 알지는 못하지만, 여러 사이트에 동일한 비밀번호를 사용하는 것은 매우 나쁜 생각이라는 것은 확실히 알고 있습니다.
만약 여러분이 여러 사이트에 동일한 비밀번호를 사용하고 있다면, 비밀번호를 모두 유일하게 바꾸세요.
다행인 것은, 무료 비밀번호 관리 어플리케이션이 있어서 여러분은 스스로 기억하지 않아도 되는 복잡하고 유일한 비밀번호를 만들어 낼 수 있으니, 비밀번호를 재사용할 이유가 없습니다.
단지 비밀번호 해커가 여러분의 어쎈신 크리드(Assassin's Creed)의 비밀번호를 해킹했다고 해서, 여러분의 전체 온라인 세상에 대한 키를 그들에게 줄 이유는 없습니다.
'security > 보안 뉴스' 카테고리의 다른 글
| [Sophos] 제로액세스(ZeroAccess) 맬웨어 재논의 - 새 버전은 더욱 더 빗나감 (0) | 2013.08.06 |
|---|---|
| [Sophos] 더티 더즌(Dirty Dozen) 스팸 발송국, 소포스랩 SPAMMIERSHIP League Tables 소개 (0) | 2013.07.23 |
| [Sophos] 페이스북이 말하는 것 보다 훨씬 더 많이 유출된 페이스북 유출사건 (0) | 2013.07.03 |
| [Sophos] "Citadel" 크라임웨어의 대규모 무력화(takedown) 속의 FBI와 마이크로소프트 (0) | 2013.06.19 |
| [Sophos] 미국 정부에 의해 폐쇄된 디지털 환전업체 리버티 리저브(Liberty Reserve) (0) | 2013.06.08 |