[상절티사] 상대적이며 절대적인 Tworld 사전의 보안이야기 "한국 거래소 Security 개판..상세!!"
[상대적이며 절대적인 Tworld 사전]
안녕하세요, 이것 저것 제가 하고 싶은 이야기를 적는 @tworld 입니다.
대문을 만들어주신 @leesongyi 작가님 너무 감사 드립니다!
너무 어이가 없어서 상세하게 다시 기술 합니다.
문서를 다시 읽어보니 개판도 이런 개판이 없네요
정말 쉽게 설명을 한번 해 드렸으니 꼭 읽어 보시기 바랍니다.
두나무 업비트 (upbit.com)
_%EA%B0%80%EC%83%81%ED%86%B5%ED%99%94_%EA%B1%B0%EB%9E%98%EC%82%AC%EC%9D%B4%ED%8A%B8_%EC%9A%B4%EC%98%81_8%EA%B0%9C%EC%82%AC%EC%97%90_%EA%B3%BC%ED%83%9C%EB%A3%8C_%EB%B0%8F_%EC%8B%9C%EC%A0%95%EB%AA%85%EB%A0%B9.hwp%202018-01-31%2014-05-30.png)
개인정보처리시스템 침입차단 및 탐지시스템 미설치·미운영
- 기본 보안 장비 조차 없는 상태 임 그리고 공격이 들어오는지도 모름
개인정보 수집 보다 동의철회 방법을 어렵게 함
- 수집된 내 정보 빼라 라고 하기 힘듬
리플포유(ripple4y.com)
_%EA%B0%80%EC%83%81%ED%86%B5%ED%99%94_%EA%B1%B0%EB%9E%98%EC%82%AC%EC%9D%B4%ED%8A%B8_%EC%9A%B4%EC%98%81_8%EA%B0%9C%EC%82%AC%EC%97%90_%EA%B3%BC%ED%83%9C%EB%A3%8C_%EB%B0%8F_%EC%8B%9C%EC%A0%95%EB%AA%85%EB%A0%B9.hwp%202018-01-31%2014-09-46.png)
취급자가 외부에서 개인정보처리시스템 접속시 안전한 인증수단 미적용
- 개인정보처리시스템을 외부에서 접근 할수가 없어야함 절대로
개인정보처리시스템 접속기록 6개월 이상 미보관
- 내부에서 (여기는 외부에서 접근하니) 개인정보 처리시스템 접근을 누가 했는지 확인을 할수 없음
이용자 계좌번호 미암호화 저장
- 개인정보처리시스템 들어가면 내 계좌번호가 무엇인지 다 확인 할 수 있음, 털리면 그냥 다 오픈정보임
개인정보 출력시 용도를 특정하고, 출력항목을 최소화하지 않음
- 개인정보를 출력하면 그냥 다 알수 있음 내 주민번호 등등 출력하면 다 알 수 있음
코인피아 씰렛 (coinpia.com)
_%EA%B0%80%EC%83%81%ED%86%B5%ED%99%94_%EA%B1%B0%EB%9E%98%EC%82%AC%EC%9D%B4%ED%8A%B8_%EC%9A%B4%EC%98%81_8%EA%B0%9C%EC%82%AC%EC%97%90_%EA%B3%BC%ED%83%9C%EB%A3%8C_%EB%B0%8F_%EC%8B%9C%EC%A0%95%EB%AA%85%EB%A0%B9.hwp%202018-01-31%2014-15-59.png)
취급자가 외부에서 개인정보처리시스템 접속시 안전한 인증수단 미적용
- 개인정보처리시스템을 외부에서 접근 할수가 없어야함 절대로
- 기본 보안 장비 조차 없는 상태 임 그리고 공격이 들어오는지도 모름
- 접속 비밀번호가 ... 1234 해도 되는데... 누구나 다 들어갈수 있겠네...
이용자 계좌번호 미암호화 저장
- 개인정보처리시스템 들어가면 내 계좌번호가 무엇인지 다 확인 할 수 있음, 털리면 그냥 다 오픈정보임
이야비트. 이야랩스(eyabit.com)
_%EA%B0%80%EC%83%81%ED%86%B5%ED%99%94_%EA%B1%B0%EB%9E%98%EC%82%AC%EC%9D%B4%ED%8A%B8_%EC%9A%B4%EC%98%81_8%EA%B0%9C%EC%82%AC%EC%97%90_%EA%B3%BC%ED%83%9C%EB%A3%8C_%EB%B0%8F_%EC%8B%9C%EC%A0%95%EB%AA%85%EB%A0%B9.hwp%202018-01-31%2014-22-55.png)
개인정보처리시스템 침입차단 및 탐지시스템 미설치·미운영
- 기본 보안 장비 조차 없는 상태 임 그리고 공격이 들어오는지도 모름
유빗, 야피안 (youbit.co.kr)
개발자 및 퇴직자의 접근권한 미말소,접근권한 최소부여 원칙 위반
접근권한 부여·변경·말소내역 미보관
최대 접속시간 제한조치 미흡
- 퇴사한 사람도 해당 시스템에 접근 해서 계좌 얼마 있는지 머 이런것들 다 볼수 있음
개인정보처리시스템 침입차단 및 탐지시스템 미설치·미운영
- 기본 보안 장비 조차 없는 상태 임 그리고 공격이 들어오는지도 모름
비밀번호 작성규칙 미수립·미운영
- 접속 비밀번호가 ... 1234 해도 되는데... 누구나 다 들어갈수 있겠네...
이용자 계좌번호 미암호화 저장
- 개인정보처리시스템 들어가면 내 계좌번호가 무엇인지 다 확인 할 수 있음, 털리면 그냥 다 오픈정보임
개인정보 출력시 용도를 특정하고, 출력항목을 최소화하지 않음
- 개인정보를 출력하면 그냥 다 알수 있음 내 주민번호 등등 출력하면 다 알 수 있음
1년간 서비스를 미이용한 이용자의 개인정보를 파기하거나 다른 이용자의 정보와 분리하여 별도로 저장·관리하지 않음
- 안쓰면 개인정보 파기 해야 하는데 계속 가지고 있음
코빗 (korbit.co.kr)
_%EA%B0%80%EC%83%81%ED%86%B5%ED%99%94_%EA%B1%B0%EB%9E%98%EC%82%AC%EC%9D%B4%ED%8A%B8_%EC%9A%B4%EC%98%81_8%EA%B0%9C%EC%82%AC%EC%97%90_%EA%B3%BC%ED%83%9C%EB%A3%8C_%EB%B0%8F_%EC%8B%9C%EC%A0%95%EB%AA%85%EB%A0%B9.hwp%202018-01-31%2014-33-55.png)
개인정보처리시스템 침입차단 및 탐지시스템 미설치·미운영
- 기본 보안 장비 조차 없는 상태 임 그리고 공격이 들어오는지도 모름
이용자 계좌번호 미암호화 저장
- 개인정보처리시스템 들어가면 내 계좌번호가 무엇인지 다 확인 할 수 있음, 털리면 그냥 다 오픈정보임
개인정보의 국외(미국) 이전 시 이용자 미고지
- 왜 ? 개인정보를 미국으로 가져가 ?? 미국에 팔아먹을려고 하나요?
코인원 (coinone.co.kr)
_%EA%B0%80%EC%83%81%ED%86%B5%ED%99%94_%EA%B1%B0%EB%9E%98%EC%82%AC%EC%9D%B4%ED%8A%B8_%EC%9A%B4%EC%98%81_8%EA%B0%9C%EC%82%AC%EC%97%90_%EA%B3%BC%ED%83%9C%EB%A3%8C_%EB%B0%8F_%EC%8B%9C%EC%A0%95%EB%AA%85%EB%A0%B9.hwp%202018-01-31%2014-44-09.png)
접근권한 변경 및 말소내역 미보관
비밀번호 작성규칙 미수립·미운영
최대 접속시간 제한 미조치
- 누구가 접속해서 멀 보든지 말던지 상관도 안하고 확인도 안하고 비밀번호는 1234로 써도 되고
이용자 계좌번호 미암호화 저장
- 개인정보처리시스템 들어가면 내 계좌번호가 무엇인지 다 확인 할 수 있음, 털리면 그냥 다 오픈정보임
개인정보 출력시 용도를 특정하고, 출력항목을 최소화하지 않음
- 개인정보를 출력하면 그냥 다 알수 있음 내 주민번호 등등 출력하면 다 알 수 있음
1년간 서비스를 미이용한 이용자의 개인정보를 파기하거나 다른 이용자의 정보와 분리하여 별도로 저장·관리하지 않음
- 안쓰면 개인정보 파기 해야 하는데 계속 가지고 있음 왜가지고 있지??
코인플러그 (cpdax.com)
_%EA%B0%80%EC%83%81%ED%86%B5%ED%99%94_%EA%B1%B0%EB%9E%98%EC%82%AC%EC%9D%B4%ED%8A%B8_%EC%9A%B4%EC%98%81_8%EA%B0%9C%EC%82%AC%EC%97%90_%EA%B3%BC%ED%83%9C%EB%A3%8C_%EB%B0%8F_%EC%8B%9C%EC%A0%95%EB%AA%85%EB%A0%B9.hwp%202018-01-31%2014-44-28.png)
개인정보처리시스템 침입차단 및 탐지시스템 미설치·미운영
- 기본 보안 장비 조차 없는 상태 임 그리고 공격이 들어오는지도 모름
와 ... 정말 한마디로 개판들이네요
사고가 이미 났을 수도 있고 그걸 모를 수도 있네요.
"The Avengers for STEEMIT" 캡틴 스티미안 @tworld 입니다.
Comments