2023년 은행 부문 해킹 사건
2023년 7월 7일, 지난 1년간 은행 부문에서 발생한 가장 큰 해킹 공격 중 하나가 보고되었습니다. 사이버 범죄자들은 C&M Software 직원의 자격 증명을 사용하여 브라질의 6개 금융 기관에서 약 1억 4천만 달러를 훔쳤습니다. 이 사건은 6월 30일에 발생했으며, 공격자들은 João Nazareno Roque를 매수하여 그의 자격 증명을 사용해 시스템에 접근했습니다.
“그는 공격의 성공을 보장하기 위해 특정 작업을 수행하라는 지시를 전달하기도 했습니다.”
Roque는 처음에 그의 연루로 920달러를 받았으며, 이후 공격자들의 권고에 따라 C&M의 인프라 내에서 명령을 실행하여 추가로 1,850달러를 벌었다고 보고되었습니다. Roque는 15일마다 휴대폰을 바꾸며 자신의 활동을 숨기려 했으나, 7월 3일 상파울루에서 체포되었습니다. 도난당한 자금 중 최소 3천만에서 4천만 달러가 암호 자산으로 전환된 것으로 추정됩니다.
해킹 사건의 조사
온체인 탐정 ZachXBT의 조사에 따르면, 공격자들은 자금을 BTC, ETH, USDT로 전환하였으며, 라틴 아메리카의 OTC 및 암호화폐 거래소를 통해 거래했습니다.
러시아 프로 농구 선수의 체포
7월 9일, 러시아 프로 농구 선수 Daniil Kasatkin의 체포 소식이 전해졌습니다. 언론 보도에 따르면, 그는 미국 당국의 요청으로 6월 21일 프랑스 샤를 드 골 공항에서 체포되었습니다. 이 선수는 랜섬웨어를 사용하는 해커 네트워크의 협상자로 활동한 혐의를 받고 있습니다.
“그의 변호사는 선수의 무죄를 주장하고 있습니다.”
해커 그룹의 이름은 공개되지 않았습니다. 2020년부터 2022년 사이에 공격자들은 두 개의 연방 기관을 포함하여 다양한 조직에 대해 900건 이상의 공격을 수행한 것으로 알려졌습니다.
맥도날드의 보안 취약점
Wired에 따르면, 연구원 Ian Carroll과 Sam Curry는 6월 9일 McHire 시스템에서 심각한 취약점을 발견했습니다. 이 플랫폼은 맥도날드의 직원 채용을 위해 AI 봇 Olivia를 사용합니다. 연구원들은 “123456”와 같은 간단한 비밀번호를 사용하여 플랫폼 개발자인 Paradox.ai의 관리자 패널에 접근했습니다.
“정상적인 채용 과정과 비교할 때 특히 디스토피아적으로 보였습니다.”
이 패널에는 구직자의 이름, 이메일 및 전화번호를 포함한 6,400만 개의 기록이 포함된 데이터베이스가 있었습니다. Paradox.ai는 유출 사실을 인정하며, 연구자 외의 제3자가 해당 계정을 사용하지 않았다고 밝혔습니다. 회사는 향후 유사 사건을 방지하기 위해 버그 바운티 프로그램을 시행하겠다고 약속했습니다.
비트코인 ATM 네트워크의 데이터 유출
미국, 캐나다, 호주에 17,000개 이상의 기기를 보유한 비트코인 ATM 네트워크 운영업체 Bitcoin Depot는 고객들에게 개인 데이터 유출 사실을 알렸습니다. 네트워크에서 의심스러운 활동이 처음 발견된 것은 2023년 6월 23일이며, 회사의 내부 조사는 2024년 7월에 종료될 예정입니다.
피해자에게 발송된 편지에 따르면, 공격자들은 KYC 절차를 완료한 약 27,000명의 고객의 문서를 확보했습니다. 유출된 데이터의 종류는 개인마다 다르지만, 다음과 같은 정보가 포함될 수 있습니다: 전체 이름, 전화번호, 운전면허 번호, 거주 주소, 생년월일, 이메일 주소. 재정적 보상이나 신원 도용 보호는 제공되지 않으며, 암호 자산과 관련된 위험이 있습니다.
피해자들은 대신 경계를 유지하고 은행 명세서를 모니터링할 것을 권장받았습니다.
