농림 관련 조합 사이트, 1천700여 명 개인정보 무방비 노출

관리자 페이지 노출 및 하위페이지 인증 없이도 접속 가능해

국내 농업 관련 모 조합 홈페이지의 관리자 페이지가 구글에 노출되면서 하위 페이지의 회원 정보가 인증절차 없이 그대로 노출되는 취약성이 발견됐다.
 
회원들에게 쪽지나 이메일을 일괄적으로 발송할 수 있는 상황이라 다양한 공격이 가능해 보안조치가 필요하다.

 
또한 회원 관리 페이지에서 수정을 누르면, 1천700명 이상 회원들의 이름, 아이디, 주민등록번호, 전화번호, 주소, 이메일 등이 그대로 노출되는 상황이라 개인정보 유출에 따른 2차 피해도 우려된다. 더불어 회원정보를 수정하거나 삭제도 가능해 사이트 관리에 심각한 피해를 줄 수도 있다.
 
해당 취약성을 발견하고 데일리시큐에 제보한 울산동천고 단용훈 군은 “관리자 페이지의 하위 페이지로 보이는 회원 정보 페이지가 인증 절차 없이 그대로 노출되고 있어 이를 악용한 위협들이 발생할 경우 많은 회원들이 피해를 볼 수 있어 제보하게 됐다”고 말했다.
 
데일리시큐는 해당 취약성을 KISA에 전달해 보안조치가 이루어질 수 있도록 할 예정이다.