사용자 계정 정보의 유출을 악용하여, 다양한 서비스에 무단 액세스하려고 하는 사이버 공격이 "Credential Stuffing 공격"이다. 그런 Credential Stuffing 공격에 사용되는 계정 정보 목록이 발견, 여기에 새롭게 1억 건 이상의 이메일 주소 정보가 유출되어있는 것이 밝혀지고 있다.
2013년부터 데이터 침해에 대해 조사해 왔다는 트로이 헌트 씨는, 최근의 데이터 트렌드로 "Credential Stuffing 공격의 급속한 증가"를 꼽고있다. Credential Stuffing 공격이라는 것은, 유출 된 계정 정보를 자동으로 입력하여 계정에 무단 액세스하는 사이버 공격이다. 여러 서비스에서 같은 ID와 비밀번호를 사용하고 있으면 피해가 커지기 때문에 헌트 씨는 "암호의 복수 사용을 그만두고, 암호 관리자를 사용하여 임의의 문자열의 암호를 생성 할 필요가 있다"라고 주장하고 있다.
사용자는 서비스 마다 사용하는 비밀번호를 변경하는 것으로, Credential Stuffing 공격을 받을 위험을 크게 줄일 수 있다. 하지만, 서비스 운영 측이 Credential Stuffing 공격에 대처하려면 "정확한 사용자 이름과 암호를 입력하는 상대에 대해, 유효한 계정 소지자는 아니다"라고 판단 할 필요가 있기 때문에, 이것을 실현하는 것은 매우 어렵다.
Credential Stuffing 공격의 표적이되고 있는 서비스의 운영 조직에 대해, 2018년 초에 미국 연방 거래위원회(FTC)는 소송을 제기하고 있지만, 그 때, 피해를 입은 조직은 "FTC 메시지는 이해할 수 있지만, 고객 데이터가 Credential Stuffing 공격 위험에 노출 된 경우, 무고한 기업에는 법률에 의한 방어 수준이 존재하지 않습니다"라며, 자신은 어떻게 할 수 없는 상황임을 강조하고 있다.
이러한 배경에서, 헌트 씨는 "Have I Been Pwned : Pwned Passwords"라는 서비스를 만들고있다. 이것은 웹 사이트 운영자가 데이터 침해를 받은 적이있는 암호 사용을 차단하기 위해, "데이터 침해를 받은 적이있는 암호"를 검색 할 수 있도록 한 서비스이다.
그런 활동을 계속 해온 헌트 씨는, 2018년 7월 10일에 새롭게 "Pemiblanc"라고 이름 붙여진 Credential Stuffing 공격의 목록을 발견했다고 보고하고 있으며, 이 가운데는 무려 1억 1100만건 분의 메일 주소 정보 등이 포함되어 있다고 한다.
발견 한 Pemiblanc라는 목록에서 이메일 주소와 비밀번호가 세트로 다음과 같이 기입되어 있다는 것. 또한, 헌트 씨에 따르면, Pemiblanc에 기록 된 계정 정보의 대부분은 "USA" 폴더에 저장되어 있다고 하고, 미국에 거주하는 사용자의 계정 정보로 간주된다.
헌트 씨가 운영하는 Have I Been Pwned는 과거에 일어난 데이터 침해로 유출 된 계정 정보가 10억 건 이상이 저장되어 있다. 그러나 이번에 발견 된 Pemiblanc라는 목록에서는 적어도 Have I Been Pwned에 저장되지 않은 680만건 분의 이메일 주소 정보가 포함되어 있었다는 것으로, 아직 확인되지 않은 데이터 침해가 상당한 규모로 일어나고 있을 가능성이 시사되고 있다.
또한 헌트 씨는 "어느 사이트에서 계정 정보를 누설했는지는 알 수 없음"이라하고, 복수의 데이터 침해로부터 Pemiblanc가 만들어진 것으로 추측하고 있다. 그리고 Credential Stuffing 공격의 종류에 대응하기 위해 암호 관리자를 사용하는 것을 권장하고 있다.