1. 로빈후 계정
3달 전쯤에 스마트폰에서 아침에 로빈훗 로그아웃 되었습니다. 무슨일인지 로그인을 하려고했는데 제 이메일 주소와 핸드폰번호는 이미 바뀌어 있었습니다. 바로 customer service 에 연락을 하려했는데 로그아웃 된 상태에서는 로빈훗은 이메일로만 보낼수 있어서 제상황을 설명한 이메일을 보내도 2~3일 되어도 답이 없어서 참 힘든 시간을 보냈었습니다. 해커들이 이메일을 털고 그후에 필터링을 통해서 robinhood 이 keyword 로 들어간 메일은 자동으로 지워지게 설정을 해놔서 몇일동안 이메일이 자동으로 지워졌단걸 확인한후 어치저치 해서 영상통화로 인증을 받아서 우선 로빈훗 계정을 해결했습니다. 해결은 되었지만 그 사이에 제주식 몇개를 팔고 데빗카드를 사용한 금액을 보상해주었는데 1번만 보상이 가능하지 그후에는 보상하지 않는다고 했습니다. 보안관련 대응과 보상에 관한 상황때문에 Webull 모두 transfrer 하였습니다. 로빈후드 fraud department 에서 해킹 당한 날짜와 상황을 설명해주는데 크롬 익스텐션을 통한 해킹이라고 애기해주었습니다. 크롬은 안쓰는걸 추천하고 로빈훗은 스마트폰으로만 하는것을 추천했습니다. 스마트폰 보안은 뚤린경우는 거의 없다고 했습니다.
2. 버라이존 계정
요즘 2step verification 이 워낙 핸드폰으로 연결되어있어 사실 연결된 핸드폰만 가지면 왠만한 사이트는 다 뚫릴수있습니다. 근무를 보던중에 Wi-Fi 가 켜져있어 문제를 못느끼다가 외근이있어 나가니 네트워크가 작동이 안되어서 싸한 느낌에 바로 사무실로 복귀해서 보니 제 버라이존 어카운트에 들어가서 제 핸드폰 심카드를 자신의 심카드로 변경을 해놨습니다. 그래도 빠르게 대처가 되어서 피해는 없었는데 그후 버라이존 계정도 2 Step 과 이메일을 변경해서 대비해 놓았습니다. 통신사 계정은 정말 조심히 관리해야될것 같아요.
3. 힐튼
크롬이 털렸다는 것은 구글어카운트가 털린것이라 그안에 저장되어있던 아이디 패스워드도 다 긁어 간것 같았습니다. 가끔식 unusual activity 라고 이메일들이오면 바꾸고 중요한것들 기준으로 바꿔나가고 있던 와중에 힐튼 어카운트 이메일로 런던에 방을 예약햇다고 메일이 왔습니다. 2 step verification 을 켜놓아서 어느정도 안심을 해두었는데 어떻게 했는지 모르겠지만 제 어카운트에 들어와서 런던 더블트리를 했더라고요. 더 대담한것은 profile 에 자기 전화번호를 넣어서 디지털키 체크인을 했더라고요. 바로 연락을 했고 이런일이 자주 일어난듯이 케이스를 열고 바로 진행을 하더라고요. 런던 더블트리에 연락해보니 이미 체크인을 했다고 했습니다. 3~4일 후에 포인트를 돌려받고 이메일 주소와 아이디를 변경해서 다시 사용하고있습니다.
4. 인스타그램 비활성화
3주전에 갑자기 스마트폰에 로그인되있던 인스타그램이 로그아웃되고 24시간동안 리뷰후에 연락을 주겠다고 한후 3주동안 연락이 오지 않고있습니다. 인스타그램을 5년 넘게 써왔고 많은 사진들과 추억들이 담겨있고 연결되어있는 친구들도 참 많았는데 현재 많이 답답한 상황이에요. 다른 상황들은 해결이 되었는데 당최 인스타그램은 해결될 기미가 안보이네요. 유튜브에 검색해보니 저같은 상황은 많은거같아 이메일도 써보고 페이스북 라이브채팅도 해보고 사진을 찍어서 보내기도 해보고 하지만 연락이 안옵니다. 제생각엔 제를 해킹한 사람으로 생각하고 identification 보내어도 무시하는것 같습니다. 혹시 이와같은상황 해결하신 분이나 인스타그램 근무하시는 분있으시면 쪽지좀 부탁드려요.
결론
이 모든일을 자초한것은 귀차니즘입니다. 저의 잘못이죠. 조금 귀찮아도 패스워드 저장하지않고 썻어야했는데 워낙 오랫동안 써온 이메일이다 보니 방치하고 썻던것이 이 화근에 온것 같습니다. 패스워드 저장해서 쓰시는분들 지금이라도 당장 지우세요. 제 생각엔 제 패스워드 데이타 베이스는 이미 해커들 사이에서 공유되고 잇다는 느낌을 받습니다. 지금은 현재 protonmail 스위스에 서버를 두고있는 이메일을 만들어서 스마트폰으로만 확인하고 쓰고 있습니다. 그이후에는 큰 문제없이 생활하고 있습니다. 그리고 크롬익스텐션에 쓰지않고 있는 익스텐션은 지워두세요. 익스텐션을 통해서 해킹을 하면 다른아이피로 접속이 아니라 제가 쓰고있는 아이피로 접속을 해서 여러가지사이트들이 문제없이 로그인되고 털리는것 같습니다. 크롬안에있는 익스텐션은 mcafee 나 avg 로도 잡히지않는것 같습니다. 현재 보안이 강화된 router 를 구매해서 설치했고 mcafee 도 모든 컴퓨터와 타블렛에 깔아 두었습니다. 이 이외에도 더 secure 하게 관리할수있는 아이디어 있으시면 추천 부탁드립니다.
저도 크롬에 모든 패스워드 있는데 조심해야 겠네요.
정보 공유 감사합니다.
*저도 그리고 많은 분들이 궁금해 하시는것 같은데 어떤 extension 들이 설치 되있었는지 실례가 아니라면 여쭤보고 싶어요. 예방차원에서요.
어후 이건 진짜 무섭네요. ㄷ ㄷ ㄷ
중요한 내용 공유해 주셔서 감사합니다.
저도 크롬 익스텐션 몇개 쓰는데 지워야겠습니다. ㄷㄷㄷ
그나저나 3번 상황에서 체크인한 놈이 범인 아닙니까? 잡을 수 있는 기회가 아니었을까 생각이 듭니다.
3번 상황이.. 싸게 호텔 예약해준다고 하고 제3자에게 돈을 받는걸로 알고있습니다.
익스텐션을 통해 해킹한다는게 어떤거죠 ..? 보안이 잘 되지 않은 퍼블릭 익스텐션을 해커들이 뚫은건가요 ?
아마도 제가 무심코 깔앗던 익스텐션이 문제였던거같습니다
글을 읽으니 너무 무서운데요, 상황을 더 잘 이해하기위해 궁금한게 있습니다.
크롬이 깔려있는 컴퓨터는 윈도우인가요? 맥인가요?
스마트폰은 안드로이드인가요? 아님 IOS인가요?
버라이즌 계정은 어떻게 뚫린건지 이해가 되질 않네요.
저도 이게 궁금하네요.
chrome OS,즉 크롬북이 제일 안전할까요?
저도 현재 일반인들이 주로 쓰는 PC OS 중 윈도우/맥OS/크롬OS 중에서는 크롬 OS가 제일 안전하다고 생각합니다.
일단, 쓸데없는 기능이 적어야..
원글은 크롬이 털린 사건인데 전 잘 모르겠네요.
제가 이해하기로 원글은 "로빈후드 직원이 크롬 익스텐션이 털렸다고 주장하는" 사건으로 보입니다. 실제로 크롬이 털린 사건이라는 증거는 안 보이는데요?
그냥 보안랭킹에서 OS 와 웹브라우저 각각 상위 랭킹에 있는 것들로 쓰면 되지 않을까요?
그런데, 지금까지 크롬OS가 해킹된 역사가 있나요? 제가 알기론 없었거든요.. 구글링 해봐도.. 크롬OS가 얼마나 해킹이 어려운지 이야기만 나오구요.. 아니면 제조사 구글이니, 검색 결과에서 다 삭제? ㅎㅎ
크롬 OS는 리눅스 기반에.. 구글의 온갖 해킹방지 기술이 들어가서.. 게다가 계속 업데이트 되어서.. 과연 이게 해킹이 가능할지? 불가능은 없겠지만요..
같은 케이스 인지 모르겠지만. 저역시 크롬이 털려서 근 2주째 시달리고있습니다.
익스텐션은 워낙 많이깔고.... "인증 안된" 익스텐션도 설치한 적있어서..(유투브 다운로드버튼을 화면에 띄워주는...죄송합니다....)
새벽에 아마존에서 깊카드 구입부터 시작되더니... 나중엔 대담하게 각종 사이트에서 물건을 구입하더군요...
비번 저장과 pc등록 카드 등록이 젤 문제 였습니다.
이상하다 싶으면 제일먼저 폰번호와 개인 은행 어카운트를 지키는게 젤 먼저더군요... 다행히
버라이즌에서 2차 인증 아이디 변경 이메일 변경 번호 락 pin 걸어서..큰 문제 없었구요..
왠만한 사이트는 구글 번호 사용중이라.. 다행이긴 햇습니다.
체이스는 다행시 계정 변경 시도중 락걸려서 막았습니다.
(그래서 대기업을 써야...)
사용당한 카드들은 변경 했습니다. .
노드스톰 어카운트 오픈 시도 한듯합니다.. 메일이 오더군요....21일자로 카드 오픈 하려 했나봅니다.
현재는 3사 크레딧 회사 와이프랑 저랑 락해둔 상태입니다.
저역시 편의상 크롬에 저장하고 살았지만.. 더이상 크롬을 사용 안하려 합니다. 로그인도 안하고요.
비번은 더더욱.....저장 안해야 겠지요...
특히 피델리티 번호로 오는 전화는 무서웟습니다.. 번호는 피델리티인데 피딜리티 전화가 아니었거든요...
아이디가 변경된 계정은 (그루폰.....) 찾을 수가 없더군요... 그냥 앞으로 그루폰 사용안할 예정입니다... (4천불을 쓰더군요.)
여튼 보안에 다들 신경 쓰자고요.
윈도우는 파티션 날리고 새로 설치해도 불안한 마음 안 없어집니다......이번에 맥으로 갈아 탈까해요..
메인 메일은 아웃룩 어세스 코드 로그인으로 변경해서 쓰고있습니다. 귀찮지만 어쩔수 없지요.
>> 이상하다 싶으면 제일먼저 폰번호와 개인 은행 어카운트를 지키는게 젤 먼저더군요
이거 지키는 방법을 알 수 있을까요? 셀폰 회사 어카운트의 패스워드를 재빨리 바꾼다는 건가요? 은행 어카운트도 마찬가지고요?
실제로 이런일이 일어나면 머리가 깜깜해져서 아무것도 못 할 것 같습니다.
저도 크롬에 비번 잔뜩 저장해두고 쓰고 있는데 일단 지우고 봐야겠군요.
이번에에 bitwarden으로 갈아 탈려고 bitwarden 크롬 익스텐션을 깔고 비번을 bitwarden에 저장하기 시작했는데
갑자기 이게 안전한 방법인지 의심이 드네요.
중요한 정보 공유에 감사드립니다.
어디든.... 완벽한곳은 없다는걸 느꼇습니다. 그냥 나만의 패턴 만들어서 각 사이트 비번 다르게 사용중입니다. 바꾸면서요..
아 많이 힘드셨겠네요. 잘 해결되었으면 합니다. 내용 공유해주셔서 감사합니다.
크롬 익스텐션에 저장된 비밀번호가 firefox나 다른 인터넷 브라우저에 저장된 비밀번호보다 더 위험한가요? 가령 크롬 익스텐션에 라쿠텐도 비번 저장해놓고 쓰는데 이것도 조심해야 할까요?
Verizon 세팅에서 Number Lock이란게 있네요. 이거 켜놓는게 좋을듯하네요.
Turn on Number Lock to prevent an unauthorized port out of your mobile number.
If a scammer gets your personal information, they could move your mobile number to another carrier. Then, they could get your calls and texts to take control of other accounts, like banking and social media. Number Lock on your mobile number does not help prevent SIM card changes or equipment changes.
어휴 무섭네요. 일단 스크랩하고 두고 두고 봐야겠습니다.
요즘 맥을 쓰기 시작했는데 애플에서는 자신들이 추천하는 엄청긴 패스원드를 할 건지 패스워드 지정할 때마다 물어보더군요. 그렇게 써본 적이 없어서 아직 한번도 안 해봤는데 심지어 나도 기억하지 못하는 패스워드인데 이건 내가 애플 계정이 들어가기만 하면 절대로 안전한 방법이 되는 건지 잘 모르겠더군요. 애플 계정 털리면 다 털리는 건가...?
패스워드 이렇게 쓰시는 분 없나요?
해킹으로 고생하신 분들께는 위로의 말씀을 드리고 싶습니다만, 근본적으로 툴을 바꾼다고 될 일이 아니라 인터넷 사용 습관을 바꾸셔야 방지가 됩니다. 알 수 없는 소스의 프로그램, 익스텐션, 앱들은 깔지 마시고, 신뢰도가 낮은 사이트에 가입할 때에는 메인 계정이 아닌 별도의 이메일을 쓰시고, 개인 정보는 입력하지 않으셔야 합니다. 특히 전화번호는요. 중요한 사이트에서 2-step verification을 쓰시는 건 기본이구요. 이런 습관을 지키시지 않으면 제 아무리 좋은 OS, 프로그램, 서비스를 쓰셔도 해커가 마음만 먹으면 쉽게 뚫을 수 있습니다.
그리고 아무리 규칙을 갖고 돌려쓴다고 하더라도 머리로 기억하는 패스워드를 몇개를 바꿔가며 쓰는 것보다... BitWarden 같은 패스워드 매니저나 iCloud keychain, Chrome password manager 등을 잘 활용하셔서 사이트마다 랜덤한 패스워드를 쓰시고 해당 계정을 철저하게 관리하는 것이 해킹에 뚫릴 확률은 훨씬 낮을 겁니다.
"특히 전화번호는요." SSN이 가장 중요한 줄 알았는데, 전화번호가 더 중요한가 보네요.
제가 바로 윗 댓글에서 언급한 내용이 말씀하신 iCloud Keychain이 아닌가 싶은데요, 이걸 이용하면 어느 정도 해킹을 방지할 수 있는 대비책이 된다고 보면 될까요? 두가지 걱정이 있는데, iCloud Keychain은 이론적으로는 애플 계정이 털리면 다 털리는 건가요? 그리고 PC 에서도 같이 사용할 수 있는 건지... 얼마전에 새 PC 로 크롬을 쓰는데 아이디/패스워드 입력할 때마다 iCloud Keychain 쓸거냐고 물어보는 거 같던데 괜찮은 건가 싶더군요
네, iCloud Keychain 같은 패스워드 매니저를 쓰시면 모든 사이트와 앱에 다른 암호를 쓸 수 있게 해주므로 보안이 취약한 사이트 하나가 털리면서 비슷한 암호를 쓰는 다른 모든 사이트가 연쇄적으로 털리는 헛점을 막아줍니다. 위에 몇분들이 말씀하신 같은 암호를 재활용하면서 사이트마다 패턴을 다르게 하는 방법은 해커들도 이미 다 알고 있는 방법이기 때문에 별 도움이 되지 않습니다. 한국어 자판을 활용하셔도 소용이 없어요.
문제는 이런 패스워드 매니저는 그 서비스의 계정이 뚫리면 모든 게 다 뚫린다는 점이죠. 완전 모 아니면 도... 그래서 개인적으로는 iCloud Keychain이나 크롬보다는 BitWarden 같은 별도의 패스워드 매니저를 선호합니다. 그래야 제 애플 계정, 구글 계정이 뚫리더라도 패스워드 매니저는 온전하니까요. 패스워드 매니저의 마스터 암호는 당근 애플 계정과 다른 것을 쓰셔야 하고, 2-step verification으로 보호하셔야 합니다. 마스터 암호가 복잡해서 기억하기 힘들면 어디 종이에 적어서 서랍 같은 곳에 보관하셔도 의외로 안전합니다 ㅎㅎ
iCloud Keychain은 Mac에서는 확실히 쓸 수 있고, Windows에서도 아마 될 것 같아요. 크롬 익스텐션이 있는 걸로 봐선...
자세한 답변 감사합니다. 패스워드 매니저를 쓸지 iCloud Keychain을 쓸지 생각을 좀 해봐야겠네요.
저도 동의합니다. 그런데 혹시 나중에 전화번호를 바꾸어야 한다면 어떻게 하는게 제일 좋을까요? 저 같은 경우에는 우버 전화번호가 이전 회사에서 사용하던 전화번호였다가 퇴사하면서 전화번호가 바뀌었습니다. 우버는 그 이후로 못 타고 있습니다. ㅎㅎ, 접속이 안되네요. 커스터머 서비스에 전화를 걸면 될 수도 있겠지만, Lyft라는 대체제가 있다보니 그냥 안쓰게 되더라구요. 그런데 또 우버 탈일이 생길수도 있으니 (Lyft 시스템 다운과 같은 말도 안되는 일도 일어날 수 있겠지요?).
질문이 길어졌는데, 전화번호를 바꾸어야 되는 상황이 되면 어떤식으로 하는게 젤 현명할까요? 갈수록 골치가 아파지는 시대입니다.
전화번호를 이미 쓴 상태에서 일괄적으로 바꿀 수 있는 방법은 없는 것 같아요. 제가 알고 있는 유일한 해결책은 Google Voice를 쓰는 것인데요. Google Voice가 일종의 평생 대리번호가 돼서 이런 경우에 용이하긴 한데 불편한 점들이 있죠.
그것 외에 일반적으로 전화번호 관련해서 생각해볼만한 점은 해커들의 탈취가 원천봉쇄하기 위해 중요 계정들에는 별도의 번호를 사용하는 것입니다. 이것 또한 전용의 Google 계정을 만들어 Google Voice를 쓰면 거의 완벽한 보안도 되고 추가 비용도 없지 않을까 합니다. 이 방법의 약점은 컴퓨터를 해킹 당하면 한큐에 다 털린다는 것인데, 사실 그 케이스는 어떻게 해도 다른 것들도 털릴 가능성이 거의 90%라...
저도 구글 보이스를 사랑했었지만, 또 한동안 사용하지 않으니 전화번호를 수거해 갔습니다. 구글 보이스 번호가 안쓰면 없어지더라구요. 여튼 팁 감사합니다. 갈수록 어렵네요. 저희가 노년이 되었을때에 사이버 범죄는 어떤식일지 걱정도 됩니다. 사실 지금도 어른들과 젊은 세대의 디지털 서비스(은행 서비스 같은) 활용도는 너무 차이가 나쟎아요. (저희는 셀폰으로, 부모님 세대는 은행에 가서 창구에 줄서서). 이렇게 계속 발전하고 저희도 모르게 더 젊은 세대와 격차가 날텐데, 그럴때 사이버 범죄 겪으면 너무 힘들 것 같습니다. 지금도 한번 겪으면 너무 힘든데요.
저도 이말에 동감합니다. 오늘 이 프로그램 으로 뚫리셨다면 같은 습관를 가지고 계시는 한 또 다른 프로그램으로 뚫리게 될 확률이 높습니다. 크롬 익스텐션만 보자면 신뢰도가 높아보이는 것들만 설치하셔도 상당한 도움이 되 실것 같습니다.
아 무섭습니다. ㅠㅠ 저도 크롬에 다 해놓고 사는데...... ㅠㅠ
이렇게 올려주셔서 댓글도 많이 달리고, 또 배웁니다.
정말 무섭네요.
경험 공유를 통해 많은 분들이 주변단속하는 계기로 삼을수 있게 해주신 것 같습니다.
일단 저도 출처를 잘 모르겠는 크롬 익스텐션은 다 지웠습니다.
저도 전부 저장해놓는데 빨리 다 지워야겠습니다. 너무 무섭네요 ㅠㅠ
저도 어제 구글에서 "Change saved passwords found online" 이메일 받고 구글패스워드 들어가니 83개 compromised 라고 해서 포기했습니다. 지금 익스텐션에 예전에 깔아놓은 무료 vpn와 instagram관련을 지웠습니다. 그런데 한국 은행접속시 깔았던 보안 extension이 있네요. 이건 괜찮으려나요.
크롬 익스텐션을 통해서도 해킹이 된다는 건 처음 들어 봐서 그런지 무척 놀랍네요. 종종 편하겠다 싶은 익스텐션을 봐도 오래되고 느린 컴퓨터 속도가 더 느려지는게 꺼려져서 꼭 필요하다 싶은 3개만 깔아 쓰고 있는데, 낡은 컴퓨터에게 고마움이 들 정도네요. 그런데 이런 위험성은 크롬에서 걸러줘야 하는게 아닌가 하는 생각도 드는데, 못하는 건지 안하는 건지 궁금합니다. 야튼 변별력이 떨어지는 저로선 앞으로 익스텐션은 무조건 무시해야겠습니다. 덕분에 각성했습니다. 감사합니다.
유용한 정보 감사합니다.
그런데, 사실 해킹의 방법은 굉장히 다양한데, 구글 크롬 익스텐션을 통한 해킹인지는 어떻게 아셨나요?
>> 로빈후드 fraud department 에서 해킹 당한 날짜와 상황을 설명해주는데 크롬 익스텐션을 통한 해킹이라고 애기해주었습니다.
로빈후드 설명외에는 다른 정보가 없네요. 정확히 어떤 익스텐션이 어떻게 해서 해킹 당했는지 혹시 경위를 아시나요? 로빈후드가 리로리로님의 해킹당한 경로를 어떻게 백트래킹했는지 궁금하네요. 그냥 아마 그런 해킹 방법도 있다고 추측한건가요?
익스텐션이 아닌 다른 경로로 해킹 당했을 가능성은 왜 배제하신거죠? 예를 들어, 가장 흔한 라우터 해킹이요?
저도 정확히는 모르겠지만 로빈후드 디파트먼트에서 그렇게 알려주었어요. 더 자세히 물어봤지만 크롬 익스텐션 이라고만 알려주었구요. 구글에 로빈훗같은 경우는 패스워드가 저장되어있지 않았었고 이메일을 통해서 2 스텝 보안을 뚫은걸 봤을땐 이미 크롬 브라우저안에서 자유롭게 움직엿다고 저도생각했습니다. 별생각없이 유튜브다운로드같은 unknown extension 도 깔기도 했엇고요. 그때당시에 익스텐션을 보니 제가 모르는 익스텐션도 많이 깔았더라고요. 라우터 해킹도 의심이가서 패스워드 교체했고 secure 한 라우터를 구매해서 라우터고 교체한 상태입니다.
로빈후드가 리로님의 PC 를 분석하지 않았다면, 로빈후드 디파트먼트가 크롬 익스텐션이라고 말한건 아주 무책임하게 들리네요. 그냥 책임회피용이 아닐까 합니다. 자기들 서버는 멀쩡하다고 하고 싶은..
그런데, 로빈후드에는 2-step 보안이 이메일 이었나요? 휴대폰 인증번호가 아니구요? 어떻게 뚫린거죠?
혹시 로빈후드의 ID/ 암호를 비슷하게 다른 사이트에서도 쓰시지 않나요? 그게 뚫렸을 가능성도 커 보입니다.
그리고, 일단 라우터 해킹되면 모든 인터넷 트래픽은 다 볼 수 있구요. 물론 그래도 다 암호화 되어 있을테니 그래도 쉽게 뚫지는 못 할겁니다.
아이고ㅡㅜ 크롬 익스텐션을 통해 구글 어카운트가 뚫렸다는 잠정결론을 내려지게 된 계기가 궁금하네요. 크롬에 싱크되어있건 구글계정을 오랫동안 그 외 용도로 사용하진 않으셨다고 읽었는데, 크롬과 무관하게 그 계정이 뚫리면서 이 헬게이트가 열렸을 가능성도 남아있을까요? 오래전부터 쓰셨던 그 이메일과 비번이 다른 사이트를 통해 유출되었다던가 해서요. 오독한거라면 송구합니다^^;;
Google 같은 경우는 2step verification 을 해놓았엇고 다른 아이피로 접속할때 verification 진행되야할텐데 그게 뚤린걸 봤을때 라우터 해킹 혹은 로빈훗말대로 익스텐션 해킹 두개로 좁혀지는거같습니다
라우터/익스텐션 해킹으로 좁혀지는 이유가 뭔가요?
구글 2-step verification 은 휴대폰으로 오지 않나요? 다 암호화 되어 있을텐데요.., 크롬 익스텐션이나 집안의 Wifi Router가 해킹되었다 하더라도, 구글 2-step 이 어떻게 뚫리죠?
로빈훗에도 (아마도 구글에도) 2 step verification 자체가 바이패스 되었던 걸로 이해되네요. 그렇담 브라우저 쿠키와 ip로만 보면 누가 접속하는지 분간이 안되었다는 거고요. 잘 모르지만 바로 떠올라서 그림이 그려진게 awardwallet 익스텐션이었어요. 비번을 주고 여기 접속해달라고 하면 알아서 페이지 열어서 로긴해주는데 (당연하겠지만) 내가 직접 들어갈 때 남았던 쿠키도 그대로 갖고 들어가더라고요. 만약에 이런 권한을 다 갖고 있는 익스텐션이 어둠의 손에 넘어가 악용되면 원글처럼 털릴 수도 있지 않을까요? 그 경우라면 익스텐션을 다 꺼놓을거 아니면 브라우저를 열어놓고 오래있으면 안 되겠네요.
한편으로, 그럼 어떤 웹브라우저가 안전할까를 찾아 보았습니다..
여러 랭킹들이 있는데.. ZDNet 기사가 좀 의미있어 보이네요..
https://www.zdnet.com/article/best-browser-for-privacy/
그런데, 많은 랭킹들에서 공통적으로 탑순위에 꼽히는 보안 최고 브라우저는 늘, Brave 와 Friefox 네요. Edge 와 Chrome 도 가끔 보이는데.. 공통적으로 Safari 는 거의 안 보이네요. 애플이 안전하다 하는데.. 왜 랭킹에 없는지 궁금하네요.
그 중에서, 특히, Brave 는 옛날부터 명성을 들어서 가끔 썼는데, 결국 구글 서비스가 필요해서 다시 크롬으로 바꾼지 한참입니다. ^^
자바 스크립트는 인터넷 브라우징의 핵심인데.. 또한 이게 늘 해킹의 핵심이기도 했죠.. ^^ 정말 다양한 짓?들이 가능하니까요.
예전에 저도 그래서, Java 스크립트기능을 아예 껏던 적인 있는데요.. 점점 자바 없이는 아예 동작이 안하는 웹사이트가 너무 많더군요.
웹사이트가 그냥 책처럼 글씨랑 그림만 있어야 하는데.. ㅎㅎ 왜 작은 OS를 돌리는지? ㅎㅎ
거기 ZDNet 추천방법 중에 NoScript 라는 악성 스크립트 막는 게 있다는데.. 이게 또 익스텐션.. ㅎㅎ 바이러스 막으려고 또 익스텐션 깔아야 하는 모순인가요? ㅎㅎ
그리고, 잠깐 구글 Extention 에 대해서 보았는데, 예상대로 Sandbox 방식이네요. 즉, 익스텐션에서 북치고 장구치고 해도 원론적으로는 해킹은 불가능해야 하죠.. 그런데 이 세상에 진짜 불가능한게 어딨나요? 특히 컴퓨터 보안에서요.. ㅎㅎ.. 그래서 뭔가 뚫리는 방법은 있나 봅니다..
그래서, 결론은 뭔가하면... 그냥 각자 알아서 해야 하는 거겠죠..
저는 여전히 구글 크롬 믿을만 하다 보고 씁니다. 그리고, 익스텐션도 없으면 안 되는 건 꼭 깔아서 써야 해서 씁니다.
나중에 크롬이 취약하다는 뉴스가 더 나면 바꿔야 겠네요.. 그런데 뭘로?
전화기가 털리면 그냥 속수 무책으로 당하는 시스템이네요.
어차피 ssn, 라이센스 넘버, 생년월일, 주소는 이미 공공재라 봐도 무방하니 믿을껀 전화 번호 로그인 차단 밖에 없네요.
혹시 티모빌에서 two factor verification 로그인 옵션이 있나요? 구글이나 공홈에 찾아봐도 그런게 없는데 이럴 경우 티모빌 암호는 구글이나 다름 암호 저장 앱을 이용하지 않고 그냥 혼자 머리에 암기하는수 밖에 없는거 같아요.
account> profile setting> T-mobile ID 가시면 (https://my.t-mobile.com/account/profile/tmobile_id) two-step verification option 있습니다. 혹시 컴에서 안되시면 폰앱에서 해보세요.
크롬에 저장된 패스워드가 이렇게 허술했다니 충격이네요. 저도 글을 읽으면서 한 사이트가 뚫리고 같은 비번을 쓰던 다른 사이트가 연계로 뚫린게 아닌가 생각했는데 비번이 사이트마다 다 달랐는데도 이렇게 광범위하게 뚫리신건가요?
그래서 저는 2-step verification 받는 마스터 이메일 계정 (i.e. 구글)의 비번은 다른 것들과 다르게 좀 더 복잡 하게 설정해 놓고, 패스워드 매니져에 저장해 놓지 않습니다. 어쩌다 보니 구글 비번이 털리면 정말 제 전 재산이 날아갈수도 있겠더라구요.
2step verification은 핸드폰 번호보다 authy같은 다른 어플로 하시는걸로 추천드립니다.
authy 비번은 당연히 그 어떤곳에도 사용하지 않는 비번으로 하셔야 하구요. (이게 뚫리면 다 뚫리니깐요)
근데 크롬에 저장된 비번이 익스텐션에서 접근이 가능한가요?
지금 세어보니 제 크롬에 설치된 익스텐션이 무려 34개나 되네요...;;
그런데.. 저는 편할려고,, 전화번호 2-step 확인마저 구글 보이스를 통해서 PC에서 받는데요.. ^^ 받으면 그냥 copy & paste 하려고..
이런 나쁜 습관을 빨리 고쳐야 할텐데요.. 언제 고칠지.. ㅜㅜ
작년에 아마존이 털리면서 아마존 포인트와 저장되어 있던 체이스카드의 체이스포인트, 또 카드 사용까지 다 털려서.. 누군지 망할놈의 시끼 때문에 스트레스 많이 받았었는데 시간이 지나니 또 게을러졌네요. BitWarden를 쓰고 있으면서도 크롬에 비밀번호를 100개 넘게 자동저장하고 있었는데 방금 다 지웠습니다. 익스텐션도 3개 빼고 다 지우고요. 리로리로님게 덕분에(?) 다시 단도리합니다.
어쩌다 보니 댓글에 있는 모든것을 이미다 하고 있었네요,구글 OTP 로 로빈훗,티모빌,페이팔,이베이,구글계정,백신카드로그인 다 걸려있고 sms 인증을 구글 보이스로 받는데요 구글이 2차인증이 되어 있어서 나름 보안이 됩니다.그외 가상자산들 역시 다 구글 OTP 로 걸려있고 하다못해 베스트바이 (몇만 포인트 털린적 잇습니다)아마존 모두 2차인증 걸려 있습니다.제가 티모빌 사용자라 8월해킹 사건 이후 맥카피로 아이디 쉴드로 모니터링 하고 있고 크레딧 3사도 자주 봅니다.비번관리는 모두 애플이라 키체인으로 관리 하고 있고 크롬은사파리 에러날때 아니면 거의 사용을 안하고 오페라로 가끔 접속합니다.
그런데 얼마전 어이없게 글로벌 엔트리 페이크 사이트에 제 개인정보를 홀라당 넘겨 준후 (결제는 안햇어요)불안의 날을 보내고 있습니다.
질문 드려 봅니다. 맥카피 에서 제 쇼셜이 다크웹에 노출되어 있다고 날아 왔는데 제가 뭘 할수 있는게 있을까요?
폰 심스와핑이 내 심카드를 복제해서 내폰의 모든걸 다 조정이 가능하단 뜻인가요?
그렇다면 OTP 도 헤커가 동시에 같이 볼수 있다는것 아닐까요?
제 주변의 어떤분이 메타마스크와 유니스왑을 연결하는 과정에서 페이크 유니스왑으로 연동이 되신듯합니다.가진 코인을 다털렸는데 그 이후 구글계정까지탈탈 탈려서 복구가 안되는 상황입니다.복구옵션으로 가면 알지도 못하는 전번이 복구 전번으로 걸려있고 구글과 폰으로통화까지 햇는데 복구 불가능...혹 계정을 터미네이트 해줄수 없냐고 했는데 불가능 ㅠㅠ 이 해킹 당한 구글계정으로 주위의 분들께 2차 3차 피해가 갈텐데요..
전 베스트바이 포인트 한번 털린이후로 아직까지는 현재의 방식으로 털린적은 한번도 없습니다만 티모빌에서 털린 제 정보들이 제일 걱정이네요.
크롬을 통해 여러가지 해킹루트가 존재하나봅니다. 업댓하라고 알림이 왔네요.
https://www.forbes.com/sites/gordonkelly/2022/02/15/google-chrome-warning-zero-day-hack-security-exploit-new-chrome-update/?sh=295faf5673c1
무섭네요
비트워덴하고 그래미 달랑 두개 깔아서 쓰고 있는데 이것도 지워야 하나요?
댓글 [58]