혼다, 인도 법인이 5만인분을 넘는 고객정보를 클라우드상에서 공개했었다

혼다, 인도 법인이 5만인분을 넘는 고객정보를 클라우드상에서 공개했었다

자동차 메이커 「혼다」 인도 법인 Honda Cars India에서는, 자동차와 연동하는 앱 Honda Connect를 제공합니다. 「이 앱에 등록한 사용자 개인정보 5만인분이상이 클라우드 서비스상에서 공개되었다」라고 하는 것을 IT기업 Kromtech 보안 부문 「Kromtech Security Center」가 2018년5월30일에 발표했습니다.

Honda Connect는, Honda Cars India가 제공하는 스마트폰·모바일 단말대상 어플. 어플과 혼다 차가 제휴하는 것으로, 앱을 통해서 자기 자동차 정보를 파악하는 것을 가능합니다. 사용자가 소유하는 혼다 차 연료 잔량이나 엔진 온도 확인, 유지보수 상태 경고 발신, 운전 정보 기록, 차량위치 정보 메일 송부, 사고발생시에 있어서의 혼다 콜센터에 시그널 발신, 맵 앱과 연동한 네비게이션등 기능을 사용할 수 있습니다.

https://www.hondacarindia.com/areas/hondaconnect/

 

열람할 수 있는 상태이었던 데이터는, 앱에 등록한 이름·전화번호·비밀번호·성별·메일 주소·연락처. 또, 차에 관한 정보 차량식별 번호·액세스 ID등도 포함되어 있었습니다.

Kromtech 전문가가 고객정보 데이터베이스를 찾은 장소는, 왭스토리지 서비스 Amazon AWS S3위. 데이터가 유출된 것은 Amazon측 문제가 아니고, Honda Cars India가 데이터를 저장하는 디렉토리 「Buckets(버킷)」 설정을 누구나 열람할 수 있는 「공개 상태」로 했었던 것이 원인입니다. 공개 상태이었던 버킷 2개에는, Honda Connect 사용자 데이터가 합계로 5만인분이상이 포함되어 있었습니다.

만일 이 정보가 누설해서 악의가 있는 공격자에게 건너갔을 경우, 데이터베이스내에 기재된 모든 스마트폰에 액세스할 수 있는 가능성이 있습니다. 게다가, 누설한 스마트폰 정보와 자동차가 페어 설정된 경우는, 사용자들의 행동이 추적됩니다. 공격자는, 사용자가 자동차 운전을 어디에서 시작·정지했는지를 파악할 수 있으므로, 자동차 사용 이력으로부터, 자동차를 소유하는 사람의 주거·일·쇼핑·노는 장소 등, 사용자 생활을 알 수 있습니다.

이 개인정보가 누설했을 경우, 악의가 있는 공격자는 누설한 연락처 사용자인 체하고, 사기 메일이나 디바이스 액세스권을 빼앗는 말웨어 메일 등을 송신하는 위험성도 있습니다.

Kromtech 전문가가 이 데이터베이스를 열람하기 전에, 다른 열람자가 적어도 1명은 있었던 것을 알고 있습니다. 왜냐하면, Kromtech 전문가가 이 공개 데이터베이스를 발견했을 때에는 이미, 보안 연구자인 Random Robbie(@Random_Robbie)씨가 남긴 「poc.txt」라고 하는 2018년2월28일 타임 스탬프가 있는 파일이 포함되어 있었기 때문입니다. 즉, Honda Car India는 이 데이터베이스가 포함된 버킷에 대하여 감시가 철저하지 않고, 버킷에 이 파일이 남겨진 것에 눈치챌 수 없었던 것입니다.

Kromtech 전문가는, 공개된 데이터베이스 상태에 대해서 Honda Cars India에 통지했습니다. Diachenko씨는 「Honda Cars India가 데이터베이스를 보호한 것은 통지부터 약2주일후이었다」라고 Bleeping Computer에 이야기 했습니다.

So, finally, @HondaCarIndia secured those two buckets (that I know of). Thank you to my followers, and specifically to @Random_Robbie and @fs0c131y for assisting in getting @Honda attention on this issue. We will publish incident report shortly. pic.twitter.com/74PIhorIuw

— Bob Diachenko (@MayhemDayOne) 2018年5月29日