자격 증명 스터핑

Credential stuffing

자격 증명 스터핑은 공격자가 도난당한 계정 자격 증명을 수집하는 사이버 공격의 일종으로, 일반적으로 사용자 이름 및/또는 전자 메일 주소 목록과 해당 암호(흔히 데이터 침해로 인해 발생함)로 구성되며, 이 자격 증명을 사용하여 대규모 자동 로그인 요청을 통해 사용자 계정에 대한 무단 액세스 권한을 얻는다. 웹 응용 프로그램에 대해 지시됨.[1] 자격 증명 균열과 달리 자격 증명 스터핑 공격은 무차별적인 힘을 사용하거나 비밀번호를 추측하지 않음 – 공격자는 Selenium, cURL, Phantom과 같은 표준 웹 자동화 도구를 사용하여 이전에 발견된 수많은 자격 증명 쌍의 로그인을 자동화하기만 하면 된다.Sentry MBA, SNIPR, Storm, Blackbullet 및 Openbullet과 같은 이러한 유형의 공격을 위해 특별히 설계된 도구 또는 JS.[2][3]

자격 증명 스터핑 공격은 많은 사용자가 여러 사이트에 걸쳐 동일한 사용자 이름/암호 조합을 재사용하기 때문에 가능하며, 한 조사에 따르면 사용자의 81%가 두 개 이상의 사이트에서 암호를 재사용했으며 25%의 사용자가 대부분의 계정에 동일한 암호를 사용한다고 한다.[4] 공정위는 2017년 비밀번호 보안 주장, 공격 경계 등 자격증 소지에 대해 기업이 취할 필요가 있는 구체적인 조치를 건의하는 권고안을 내놨다.[5]구글 클릭 사기 황제 슈만 고세마줌더에 따르면 자격증 충전 공격은 로그인 성공률이 2%에 달해 100만 명의 자격증 도난이 2만 개 이상의 계정을 탈취할 수 있다.[6] Wired Magazine은 자격 증명 채우기를 보호하는 가장 좋은 방법은 암호 관리자에 의해 자동으로 생성되는 암호와 같은 고유한 암호를 계정에 사용하고, 2단계 인증을 가능하게 하며, 회사가 자격 증명 채우기의 공격을 탐지하고 중지하도록 하는 것이라고 설명했다.[7]

자격 증명 유출

자격 증명 주입 공격은 자격 증명 유출 볼륨의 결과로 웹 및 모바일 애플리케이션에 대한 상위 위협 중 하나로 간주된다. 2016년 한 해에만 30억 건 이상의 자격증이 온라인 데이터 침해로 유출됐다.[8]

기원

이 용어는 당시 국방부에서 국방부 차관보로 근무하던 수미트 아가왈 쉐이프 시큐리티 공동창업자(Sumit Agarwal)가 만들었다.[9]

사건

2018년 8월 20일 영국 보건·뷰티 소매업체 슈퍼드러그는 협박 미수로 표적이 됐는데, 해커들이 회사 사이트를 침투해 2만여 명의 사용자 기록을 다운로드했다는 근거 자료를 보여주는 등 협박을 시도한 것으로 드러났다. 그 증거는 해킹과 유출로부터 얻어진 다음 가짜 증거를 만들기 위해 정보를 수집하기 위한 자격 증명 주입 공격의 원천으로 사용되었을 가능성이 매우 높다.[10][11]

공격자는 2016년 10월과 11월 기존 위반행위로 훼손된 직원들의 사용자명과 비밀번호를 이용해 우버(Uber BV·Ukber UK) 개발자들이 사용하는 전용 GitHub 저장소에 접속했다. 해커들은 이메일 주소와 비밀번호가 다른 플랫폼에서 재사용되었기 때문에 자격증 취득법을 이용해 직원 12명의 사용자 계정을 탈취했다고 주장했다. 다중 요소 인증은 사용 가능하지만 영향을 받는 계정에 대해 활성화되지 않았다. 해커들은 100개가 넘는 S3 버킷에 포함된 다른 데이터뿐만 아니라 미국 이외의 사용자 3200만 명과 미국 이외의 운전자 370만 명의 기록에 접근하기 위해 사용했던 회사의 AWS 데이터 저장소의 자격 증명을 저장소의 파일에 찾았다. 공격자들은 데이터 삭제에 동의하기 위해 10만 달러의 지불을 요구하며 우버에 경고를 보냈다. 그 회사는 버그 보상 프로그램을 통해 돈을 지불했지만, 그 사건을 1년 넘게 피해 당사자들에게 공개하지 않았다. 위반 사실이 밝혀진 후 영국 정보청으로부터 38만5000파운드(약 30만8000파운드)의 벌금을 부과받았다.[12]

손상된 자격 증명 검사

손상된 자격 증명 검사는 웹 사이트, 웹 브라우저 또는 암호 확장에 의해 암호가 침해되었을 때 사용자에게 알릴 수 있는 기술이다.

2018년 2월 영국의 컴퓨터 과학자 주나데 알리가 검색된 암호를 완전히 공개하지 않고 비밀번호가 유출됐는지 익명으로 검증하는 통신 프로토콜(k-anonymity암호 해싱 사용)을 만들었다.[13][14] 이 프로토콜은 공용 API로 구현되어 현재는 암호 관리자[15][16], 브라우저 확장 등 복수의 웹사이트와 서비스에 의해 소비되고 있다.[17][18] 이 접근법은 나중에 구글의 비밀번호 검사 기능에 의해 복제되었다.[19][20][21] 알리는 코넬 대학교의 학자들과 함께 주파수 스무딩 버킷화(FSB)와 식별자 기반 버킷화(IDB)로 알려진 새로운 버전의 프로토콜을 개발했다.[22] 2020년 3월, 암호 패딩이 프로토콜에 추가되었다.[23]

손상된 자격 증명 검사 구현

프로토콜 개발자 Made Public 참조
k-애너니티 Junade Ali (Cloudflare), Troy Hunt (Have I We Weened?) 2018년 2월 21일 [24][25]
주파수 평활 버킷화 및 식별자 기반 버킷화 코넬 대학교(루시 리, 비지타 팔, 라훌 채터지, 토마스 리스텐파트), 클라우드플레어(주나드 알리, 닉 설리번) 2019년 5월 [26]
Google 비밀번호 검사(GPC) 구글, 스탠퍼드 대학교 2019년 8월 [27][28]
활성 자격 증명 스터핑 탐지 노스캐롤라이나 대학교 채플힐(Ke Coby Wang, Michael K) 반복) 2019년 12월 [29]

참고 항목

참조

  1. ^ "Credential Stuffing". OWASP.
  2. ^ "Credential Spill Report" (PDF). Shape Security. January 2017. p. 23. The most popular credential stuffing tool, Sentry MBA, uses “config” files for target websites that contain all the login sequence logic needed to automate login attempts
  3. ^ "Use of credential stuffing tools – NCSC".
  4. ^ "Wake-Up Call on Users' Poor Password Habits" (PDF). SecureAuth. July 2017.
  5. ^ "Stick with Security: Require secure passwords and authentication". Federal Trade Commission. 2017-08-11. Retrieved 2021-04-11.
  6. ^ Ghosemajumder, Shuman (2017-12-04). "You Can't Secure 100% of Your Data 100% of the Time". Harvard Business Review. ISSN 0017-8012. Retrieved 2021-04-11.
  7. ^ "What Is Credential Stuffing?". Wired. ISSN 1059-1028. Retrieved 2021-04-11.
  8. ^ Chickowski, Ericka (January 17, 2017). "Credential-Stuffing Attacks Take Enterprise Systems By Storm". DarkReading. Retrieved February 19, 2017.
  9. ^ Townsend, Kevin (January 17, 2017). "Credential Stuffing: a Successful and Growing Attack Methodology". Security Week. Retrieved February 19, 2017.
  10. ^ "Super-mugs: Hackers claim to have snatched 20k customer records from Brit biz Superdrug". The Register.
  11. ^ "Superdrug Rebuffs Super Ransom After Supposed Super Heist – Finance Crypto Community". 23 August 2018.
  12. ^ "Monetary Penalty Notice (Uber)" (PDF). Information Commissioner's Office. 27 November 2018.
  13. ^ "Find out if your password has been pwned—without sending it to a server". Ars Technica. Retrieved 2018-05-24.
  14. ^ "1Password bolts on a 'pwned password' check – TechCrunch". techcrunch.com. Retrieved 2018-05-24.
  15. ^ "1Password Integrates With 'Pwned Passwords' to Check if Your Passwords Have Been Leaked Online". Retrieved 2018-05-24.
  16. ^ Conger, Kate. "1Password Helps You Find Out if Your Password Is Pwned". Gizmodo. Retrieved 2018-05-24.
  17. ^ Condon, Stephanie. "Okta offers free multi-factor authentication with new product, One App ZDNet". ZDNet. Retrieved 2018-05-24.
  18. ^ Coren, Michael J. "The world's biggest database of hacked passwords is now a Chrome extension that checks yours automatically". Quartz. Retrieved 2018-05-24.
  19. ^ Wagenseil I, Paul (5 February 2019). "Google's New Chrome Extension Finds Your Hacked Passwords". www.laptopmag.com.
  20. ^ "Google Launches Password Checkup Extension to Alert Users of Data Breaches". BleepingComputer.
  21. ^ Dsouza, Melisha (6 February 2019). "Google's new Chrome extension 'Password CheckUp' checks if your username or password has been exposed to a third party breach". Packt Hub.
  22. ^ Li, Lucy; Pal, Bijeeta; Ali, Junade; Sullivan, Nick; Chatterjee, Rahul; Ristenpart, Thomas (2019-11-06). "Protocols for Checking Compromised Credentials". Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security. New York, NY, USA: ACM: 1387–1403. arXiv:1905.13737. Bibcode:2019arXiv190513737L. doi:10.1145/3319535.3354229. ISBN 978-1-4503-6747-9. S2CID 173188856.
  23. ^ Ali, Junade (4 March 2020). "Pwned Passwords Padding (ft. Lava Lamps and Workers)". The Cloudflare Blog. Retrieved 12 May 2020.
  24. ^ Ali, Junade (21 February 2018). "Validating Leaked Passwords with k-Anonymity". The Cloudflare Blog. Retrieved 12 May 2020.
  25. ^ Ali, Junade (5 October 2017). "Mechanism for the prevention of password reuse through Anonymized Hashes". PeerJ Preprints. doi:10.7287/peerj.preprints.3322v1. Retrieved 12 May 2020. {{cite journal}}: Cite 저널은 필요로 한다. journal= (도움말)
  26. ^ Li, Lucy; Pal, Bijeeta; Ali, Junade; Sullivan, Nick; Chatterjee, Rahul; Ristenpart, Thomas (4 September 2019). "Protocols for Checking Compromised Credentials". arXiv:1905.13737 [cs.CR].
  27. ^ Thomas, Kurt; Pullman, Jennifer; Yeo, Kevin; Raghunathan, Ananth; Kelley, Patrick Gage; Invernizzi, Luca; Benko, Borbala; Pietraszek, Tadek; Patel, Sarvar; Boneh, Dan; Bursztein, Elie (2019). Protecting accounts from credential stuffing with password breach alerting. pp. 1556–1571. ISBN 9781939133069.
  28. ^ Cimpanu, Catalin. "Google launches Password Checkup feature, will add it to Chrome later this year". ZDNet. Retrieved 12 May 2020.
  29. ^ Wang, Ke Coby; Reiter, Michael K. (2020). Detecting Stuffing of a User's Credentials at Her Own Accounts. pp. 2201–2218. arXiv:1912.11118. ISBN 9781939133175.

외부 링크