어제 저녁에 target.com 에서 픽업 주문해 놓고 언제 갈까 고민하고 있었는데 오늘 아침에 메일로 오더가 picked up 되었다고 옵니다. 엥?
뭐 단순 전산 오류겠지 하고 픽업하러 매장에 가 봤더니 진짜로 아침에 누가 와서 받아갔다네요... 헐...
CCTV 확인했고 남자1 여자1이 와서 바코드 찍고 가져갔다는데 그 바코드가 우리가 가지고 있던 거랑 같답니다. (픽업하는 사람 이름 확인 안 함)
도대체 어떻게 그 사람들이 우리 바코드를 가지고 있었던 걸까요?
고객 센터 전화해서 설명했더니 다행히 그냥 full refund 해 주긴 했지만 (폴리스 레포트 안 받아도 돼서 귀찮음이 약간 감소했습니다.)
도대체 어디서 바코드가 빠져 나갔는지 모르겠어요. 이걸 알아야 다음에 또 안 이럴 거 같은데...
P2랑 제가 했던 게
1. 컴퓨터로 접속해서 주문. 이메일로 바코드를 포함한 주문 확인 날아옴.
2. 누가 갈 지 모르고 혹시나 해서 와이프가 저한테 바코드 스크린샷 찍어서 airdrop 시도 -> 수신인이 아무도 안 떠서 그냥 취소
3. 스크린샷을 shared library로 지정 -> 자동으로 가족간 사진 공유
4. 그 뒤로 아무 것도 안 하고 기다림
이 정도 밖에 안 했는데 어떻게 바코드를 가져간 것이며,
스크린샷이 유출되었다 치면 매장명도 안 나와 있는데 어떻게 거기 가서 받았는지,
타겟 계정으로 들어간 것이면 로그인 기록이 남아야 되는데 제 컴퓨터랑 P2 전화기 외에는 로그인 이력도 없고
구글(이메일)이나 애플(icloud) 계정에 들어가봐도 신규 기기 접속 기록도 없으며 2-step verfication도 작동중입니다.
도대체 어디서 구멍이 생긴걸까요?
그냥 계정 아이디/비번 해킹된거면 비번 바꾸고 뭐라도 할텐데 구멍을 모르니 막을 수가 없네요. 세상이 무섭습니다.
남편한테 지금 물어보니 바코드만 스캔하고 다른건 1도 안물어봤대요;
바코드가 어떻게 유출된건지 무섭네요 정말;;
이건 이멜이 당하신듯 하네요... 그저 무섭네요;
헉 저도 오늘 타겟 픽업 오더 있는데;; 당황스러우셨겠네요
저는 AirDrop이 아니었을까 한번 추측 던져봅니다. 공공장소가 아니고 집에서 AirDrop하신거라면 아닐 가능성이 더 높지만요.
(다른 옵션은 지정된 사람만 access하는게 원칙이지만, AirDrop은 모르는 사람에게도 이론적으로 얼마든지 sharing가능하고 기록도 안남으니까요.)
이메일 메시지에 바코드가 찍히나요? 제 예전 오더를 찾아봐도 앱 클릭하라는 얘기만 있지 이메일은 없거든요.
아니면 바코드 스샷한걸 P2랑 이메일로 공유를 하신건가요?
타겟 계정이 털린 것 아닌가요?
확률상 타겟 계정이 털렸을 가능성이 가장 커보입니다;;
전 특정 타겟 계정보다는 타겟 시스템쪽이 털렸을 가능성이 더 높아 보이는게....
랜덤한 계정을 털은 해커, 혹은 그와 연결된 일당이 피해자가 픽업하기로 예정한 타겟 매장에 geographical access가 가능할 확률을 따져보면 매우 낮다고 보여요.
랜덤 계정을 턴거면, 계정에 연결된 페이먼트 정보를 이용해 별도의 오더를 범죄자가 픽업하기 용이한곳으로 하는등의 방식으로 범죄가 벌어졌을 가능성이 오히려 높겠죠.
이 경우는 특정 스토어의 오더 트래킹 시스템이 털렸거나, 타겟 전체의 시스템이 뚫린 상황에서... 꼬리를 짧게 하기 위해,
리세일이 비교적 쉬우면서 단가가 적당히 높은 오더만 집중해서 뺏아가는게 아닐까 싶네요.
타겟 시스템이 해킹된게 아닐까싶은데요 이런일이 있군요...
진짜 무섭네요
마찬가지로 타겟 계정의 sign in 이력에도 사용하는 2대 외에는 접속 이력이 없어요 …
icloud 접속 이력도 없어서 airdrop일지도 모르겠는데 수신인 아무도 안 떠서 바로 취소했는데 버그로 옆집에 공유 돼 버린 걸까요? 도저히 모르겠습니다.
이제 개인 기기들 (라우터, 폰, 컴퓨터 등등)의 보안 기능이 너무 너무 강해져서, 보통 해킹이 아주 아주 어렵습니다.
물론 그래도 여전히 해킹은 가능하죠. 단, 자원 (돈, 시간)이 많이 들죠.
그래서, 당연히 해커들은 개인 기기들 해킹보다는 회사나 기관들 해킹에 집중하죠. 여전히 개인보다 100배는 어렵지만, 한번 털면, 100000 배의 이득이 생기니까요.
본인이 어떤 회사의 CEO나 중요 기밀 접근가능한 임원진 아니라면 이제 개인 레벨 해킹은 걱정안하셔도 됩니다. 굳이 터는데 돈이 더 들어요.
단, 자원이 아주 싸게 먹히는 해킹에 제발로 걸어가지 않는다면요..
예를 들면,
1. 유튜브 동영상 다운로더 받으려고 구글 스토어가 아닌 다른데서 앱을 설치한다거나,
2. 불법 프로그램이나 게임 다운로드 토렌트에서 받아서 설치. (바이러스 검사 지금은 안걸려도 아마 신종 바이러스 당연히 있을겁니다.)
3. 듣보나, 이상한 사이트에 회원가입하면서, 이메일 뿐 아니라, 각종 개인정보 넘겨주기. (심지어 평상시 자주쓰는 공통 암호를 넘겨주는 일도 흔합니다.)
등등... 이 세상에 진짜 공짜는 없는데.. 공짜 찾다가 본인 스스로 해킹 당하는 거죠. 이런거는 주로 매크로로 자동으로 해킹 들어가기 때문에.. 해커들도 별로 할일이 없습니다.. ㅎㅎ 아 쉽다 쉬워..
이런거만 안하고 정상적으로 IT 생활하시면 요즘은 해킹당하는 일은 거의 없을겁니다.
단, 문제는 회사들이죠. 이건 뭐, 개인이 어찌할 수 있는 일은 아니죠.
그냥, 각종 웹사이트들에 회원등록 줄이고, 개인정보 필요 이상 안 넣고, 신용카드도 당연히 안 넣고 매번 귀찮더라도 일일히 타이핑하는게 좋을듯 합니다.
아 물론.. 신용카드 자체가 자주 뚫려요.. ㅎㅎ 뭐, 그러니, 알람걸고 자주 체크해야죠.
이 넓은 미국땅에서 해킹을 해도 이렇게 직접 로컬스토어에서 와서 픽업까지 하기는 쉽지 않을 겁니다. 제 생각에는 해킹보다는 해당 타겟 스토어에서 일어난 범행일 것 같습니다. 누군가 카운터나 상품에서 오더 바코드를 몰래 가져갔다가 나중에 픽업하는 것처럼 했을수도 있고 아니면 직원 중에 이를 제공한 공범자가 있었을 수도 있을 겁니다. 아무튼 요즘 웬만한 스토어들은 픽업할때 다들 아이디를 확인하던데 타겟은 아직도 확인 안한다니 황당하네요.
댓글 [12]