check 3d gpu
바로가기
왼쪽 메뉴로 이동
본문으로 이동

나이키, 밝혀지지 않은 웹사이트 결함으로 인해 서버 데이터 유출

2018년 03월 07일(수)
공유하기

구글+구글+ 카카오톡카카오톡 카스카스 라인라인 밴드밴드 URL복사URL복사

URL 복사

아래의 URL을 길게 누르면 복사하실수 있습니다.

1.jpg
▲출처=픽사베이
스포츠 의류 회사인 나이키(Nike)가 여태까지 밝혀지지 않은 웹사이트 결함으로 인해 사용자의 비밀번호 등 일부 서버 데이터 유출 피해를 입었다.

이 결함을 발견한 사람은 18세의 연구원 코벤 레오다. 레오는 지난 해 나이키 웹사이트의 결함에 대해 알게 됐고, 회사의 버그 보상 프로그램을 신청하기 위해 나이키 관계자와 연락을 취했다. 비즈니스 기술 뉴스 매체인 ZD넷(ZDNet)이 이 내용을 보도했다.

이 버그는 XML 외부 객체를 유출했다. 이것은 웹사이트에서 XML 기반 데이터를 분석하는 방식이다. 레오는 나이키 서버의 정보 유출로 인해 서버에 액세스할 수 있는 모든 사용자의 이름이 노출됐다고 말했다. 심지어 시스템 관리자의 로그인 정보도 유출됐다.

ZD넷은 레오가 ㄴ나이키로부터 3개월이 넘게 아무런 소식을 듣지 못해 다시 연락을 취했다고 전했다. 나이키의 대변인은 회사가 이미 문제를 해결했다고 말했다. 회사는 데이터 보안 유지에 도움을 줘 감사하다는 뜻을 전했다. 그리고 마이나이키팀 사이트는 나이키 웹사이트와 별도 서버에서 운영된다고 덧붙였다.

또 다른 보안 연구원인 스콧 헬미는 레오가 "OOB-XXE 주입 취약점을 아주 잘 발견했으며 이 결함은 매우 심각한 것이다"라고 평가했다. 그는 만일 레오가 그것을 발견하지 못했다면 결함이 얼마나 심각해졌을지 알 수 없다고 말했다. 헬미는 "조금만 늦었어도 훨씬 큰 결함이 발생했을 것이다"라고 덧붙였다.

김형우 기자 jywoo@dailysecu.com

전체선택후 복사하여 주세요. 닫기