GN⁺ 11달전 | parent | ★ favorite | on: Have I Been Pwned 2.0(troyhunt.com)
Hacker News 의견
  • 법률 회사와 파트너십을 맺어서, 과실로 인한 모든 데이터 유출(사실상 거의 모든 경우)에 대해 집단 소송 추진 희망사항 공유 후, 결제 은행 서비스와 연계해서 합의금 지급 시 수백만 명에게 직접 송금하고, 그렇게 되면 현대판 영웅이 될 수 있을 거라는 상상 공유 실제로 과실이 있는 기업에 뼈아픈 판결을 내리게 만들만한 변호사들과 협력하는 중요성 강조, 단순한 소규모 합의금은 무책임한 경영을 지속하게 만들 위험성 경고 선택적으로, 소송 임박 데이터를 투자사에 판매 가능성 언급, 궁극적으로는 데이터 유출 뉴스만으로도 해당 기업 주가가 타격받는 당연한 사회 분위기 조성 바람
    • 합의금이 발생할 때마다 소액을 바로 좋은 곳에 기부할 수 있으면, 집단 소송에 참여할 의욕이 더 생길 것 같다는 바람 전달
    • 해당 은행 서비스에 대해, 그런 시스템에 보관된 데이터 자체가 또 유출되는 건 얼마나 오래 걸릴지 불안함 농담
    • 이런 시스템은 오히려 역효과 가능성 우려 기업이 유출 사실을 공개하는 것 자체가 이미 어려운 상황에서, 이런 구조는 리스크만 키워 공개 회피만 늘릴 것이라 걱정 내 정보가 유출되었는지 알고 비번을 바꾸는 게 낫다는 의견
    • 내 개인 정보가 Google에 팔린 것 때문에 Blue Shield에서 보상받을 날을 여전히 기다리고 있다는 불만과 함께 서비스 의향 의사 표현
  • 불과 최근 10년 사이에 LinkedIn처럼 거대한 사이트가 솔트를 적용하지 않은 비밀번호를 저장했다는 사실이 놀라움, 현대에 어떻게 이런 실수를 할 수 있냐는 의문
    • 의도치 않게 이런 일이 생각보다 쉽게 발생할 수 있다는 사실 설명 중간 미들웨어 입장에서 보면, JSON 데이터 내 password 필드는 단지 또 하나의 필드로 인식될 수 있고, API나 로깅 시스템이 요청 본문 전체를 로그로 남기게 되면 실제 문제 발생 가능성 솔트 없는 비밀번호를 비밀번호 저장소에 직접 저장하는 일은 드물겠지만, 예를 들어 안드로이드 앱의 API 게이트웨이에서 ‘비밀번호 찾기’ 같은 플로우가 민감 정보임을 누락하면 비슷한 문제가 생긴다 경험 공유
    • 이런 실수가 생기는 건 엔지니어링 면접에서 Leetcode Hard 문제를 충분히 안 냈기 때문이라는 농담성 의견
    • AI Slop(인공지능 기반 품질 저하) 얘기는 많이 하는데, 실제로 오랜 기간 Outsourced Slop(외주 개발의 품질 저하) 문제도 심각하게 존재했다는 지적 LinkedIn도 외주 프로그래머 산출물이 주요 원인일 가능성 높다는 경험 기반 지적 강력하고 유능한 관리자가 품질 기준을 세우고 검증해야지만 외관상 멀쩡하고 속은 허술한 제품을 피할 수 있다는 주장
    • 이런 실수가 일어나는 건 과거에 구축한 오래된 레거시 메인프레임 등, 아무도 관리나 마이그레이션에 시간·예산을 투자하지 못해 방치된 시스템 때문일 가능성 대기업일수록 중요 시스템의 관성(ossification)이 너무 강해져 1시간 정도만 중단돼도 수백만 원 이상의 ‘손실’로 여겨 정비가 더욱 불가능해지는 구조 문제점 지적
  • 많은 일반인이 Have I Been Pwned를 자주 사용하고 1Password로 유입되는 것도 최고의 선택지라고 생각 실제로 1Password와의 프로모션은 훌륭하게 어울리는 협업 언급 해당 배너 문구를 "강력히 추천"처럼 눈에 더 띄게 바꿨으면 좋겠다는 제언 공유 소셜 계정 해킹 피해의 대부분이 비밀번호 재사용 때문이고, 이런 경험에서 안전한 비밀번호 사용 교육과 패스워드 매니저 유입이 매우 긍정적이라고 강조 지난 1년간 약 20건 넘게 실제로 문제 해결 지원했던 경험 공유하며 리뉴얼 축하
  • 모든 데이터 유출 내역을 로고와 소개 문구와 함께 세로 스크롤 형태로 보여줘서 무섭지만 놀라운 기능 감상
    • 데이터 유출을 볼 때 무력함을 느끼고, 신용동결 외에는 할 수 있는 조치가 거의 없다는 자조
  • 최고의 데이터 유출 기록 보유자는 누구일지 궁금 내 메인 이메일은 지금까지 40건의 유출에 등장했고, 제일 오래된 건 2011년 6월(HackForums, 기억도 없음), 최근은 2024년 9월(FrenchCitizens, 프랑스와 관련 없음)이라는 경험 공유
    • 한 명이 그 기록을 1개 차이로 넘었다고 답변
    • john@yahoo.com 이메일이 무려 322건의 유출에 올랐다는 놀라운 기록 공유
  • 좀 더 프라이버시를 원한다면, 해당 서비스 내에서 내 이메일 검색 결과를 숨기는 opt-out 기능이 있다는 팁 제공
  • 여러 개의 이메일 별칭을 쓰기 때문에 하나하나 검색이 불가능해, 도메인으로 한번에 검색하는 기능이 있으면 좋겠다는 바람
    • "The Domain Search Feature" 안내 아래에서 도메인 소유권 인증 후 한 번에 결과를 볼 수 있다는 방법 안내
  • 정말 멋진 사이트라는 감상과 함께, 이런 문제를 정부가 더 진지하게 받아들이길 바라는 소망 신분 도용, 계정 탈취 등은 결국 데이터 유출에서 시작되고, 오늘날에는 실제 집에 도둑이 드는 것보다 디지털 계정이 털리는 게 더 심각한 재난임을 강조 물리적 침입의 경우 911 등 신고와 추적 등이 분명히 존재하지만, 디지털 침해는 연락처도 없고, 해결과정도 별로 존재하지 않는다면서 사회적 대응이 바뀌길 촉구
  • 리뉴얼 디자인을 매우 긍정적으로 평가하며, Troy의 업데이트를 따라가는 것도 즐거움이지만 때로는 블랙 유머처럼 느껴지는 흥미로움 언급 타임라인이 가장 오래된 유출부터 최근으로 정렬된 것 같지만, 날짜 표기가 데이터가 유출된 시점이 아니라 유출 사실이 공개된 시점이라는 혼란 경험 해결책으로 정렬·표기 모두 ‘공개일 기준’으로, 카드 내에서 실제 유출 날짜를 기준 형식으로 표기하는 것이 더 명확할 것이라는 제언