GN⁺: 이메일에서 전화번호까지, 새로운 OSINT 접근법(2019)
(martinvigo.com)요약: 이메일에서 전화번호로, 새로운 OSINT 접근법
-
최근 비밀번호 재설정 옵션의 취약점과 공격 벡터에 대한 연구 진행
-
BSides Las Vegas에서 "Ransombile"이라는 도구 발표, SMS를 통한 비밀번호 재설정 자동화 및 물리적 접근이 가능한 잠긴 모바일 기기에 대한 타깃 공격 용이
-
DEF CON 및 CCC에서 음성메일 시스템의 취약성을 통한 전화를 통한 비밀번호 재설정 문제 제기
-
비밀번호 재설정 시 일부 전화번호 숫자가 UI에 부분적으로 표시되는 것을 발견
-
웹사이트마다 개인 식별 정보(PII)를 가리는 방식에 표준 없음
-
예를 들어, Paypal의 경우 이메일 주소만 알면 전화번호 10자리 중 5자리를 알 수 있음
심층 조사
- 이메일만으로 비밀번호 재설정을 시작할 수 있는 인기 있는 웹사이트 목록 작성 및 검토
- 예를 들어, eBay와 LastPass 계정이 있는 경우, 공격자가 이메일 주소만 알고도 전화번호의 7자리를 알 수 있음
남은 숫자 찾기
- 미국 전화번호는 지역 코드, 교환소 코드, 가입자 번호로 구성
- North American Numbering Plan Administrator(NANPA)를 통해 지역 코드와 해당 교환소의 업데이트된 목록을 확인 가능
- 예를 들어, 샌프란시스코의 경우 415 지역 코드에 할당되지 않은 216개의 교환소 번호를 통해 가능한 전화번호를 784개로 줄일 수 있음
National Pooling Administration
- 전화번호 할당을 관리하는 National Pooling Administration을 통해 가입자 번호에 기반한 유효하지 않은 전화번호 제외 가능
- 예를 들어, Sausalito의 415-272-XXXX 번호에서 415-272-[0-8]XXX를 제외하고 9로 시작하는 번호에만 집중할 수 있음
여전히 많은 가능한 번호들
- 이메일 주소를 가진 타깃의 전화번호 7자리를 알아낸 후 NANPA와 National Pooling Administration을 사용하여 가능한 전화번호를 줄일 수 있음
- 남은 전화번호를 수동으로 확인하는 대신, 검색 엔진, 온라인 서비스, 전화 시스템 온라인 서비스를 통해 이메일 주소와 연결된 전화번호를 찾을 수 있음
같은 공격 벡터를 역으로 사용하기
- Amazon과 Twitter와 같은 서비스를 통해 전화번호로 비밀번호 재설정을 시도하고 이메일 주소의 일부 문자를 되돌려받을 수 있음
- 이메일 주소를 사용하여 여러 사이트에서 전화번호 숫자를 수집하고, NANPA 및 National Pooling Administration의 공개 데이터를 사용하여 가능한 전화번호 목록을 줄이고, 남은 전화번호 목록을 반복하며 타깃의 이메일 주소와 일치하는 이메일 문자를 상관시킬 수 있음
자동화
- "email2phonenumber"라는 도구를 통해 부분적인 전화번호를 제공하고 유효한 전화번호 목록을 얻을 수 있으며, Amazon과 Twitter의 비밀번호 재설정 기능을 사용하여 남은 전화번호를 무차별 대입하여 일치하는 이메일을 찾을 수 있음
다른 나라들
- 미국 외의 다른 나라들의 전화번호 시스템을 이용하여 전화번호의 모든 숫자를 수집할 수 있음
- 예를 들어, 스페인의 경우 모바일 전화번호가 9자리이며, eBay나 LastPass는 전화번호 길이에 맞춰 마스킹을 조정하지 않아 전화번호의 절반 이상을 알 수 있음
결론
- PII를 마스킹하는 표준화된 방법이 없어 온라인 서비스에서 이메일 주소와 전화번호에 대한 부분적 정보가 유출될 수 있음
- 특히 전화번호가 짧은 국가에서는 많은 서비스가 전화번호 길이에 맞춰 마스킹을 조정하지 않아 전화번호 전체를 알 수 있음
- 사용자가 "개인 이메일"이나 "업무용 전화"와 같은 레이블을 설정할 수 있도록 하여 비밀번호 재설정 시 PII 대신 레이블을 표시하는 것을 제안함
GN⁺의 의견
이 글에서 가장 중요한 것은 이메일 주소만으로 전화번호를 알아낼 수 있는 새로운 OSINT 접근법의 발견이다. 이 방법은 개인 정보 보호와 보안에 중대한 영향을 미칠 수 있으며, 이러한 취약점을 악용하는 공격자에 대한 경각심을 높이는 데 도움이 될 수 있다. 이 글은 소프트웨어 엔지니어링과 보안에 관심이 있는 사람들에게 흥미로운 주제를 제공하며, 개인 데이터 보호의 중요성을 강조한다.
Hacker News 의견
- 한 사용자는 자동차 부품을 반쯤 사기꾼에게서 구매했는데, 판매자가 몇 주 동안 돈을 받고도 전체 주문을 배송하지 않았음을 공유함. 여러 플랫폼을 통해 소통하면서 판매자의 신원 정보 일부를 얻어내고, 이를 통해 판매자의 직장에 전화하여 부품 배송을 요청한 후, 판매자가 다음 날 모든 상품을 배송했다고 함.
- 또 다른 사용자는 CNAM 데이터베이스(미국 전용)에 대해 언급하며, 통신사가 알파벳으로 된 발신자 ID를 제공하는 데 사용되지만, 대부분의 통신사는 이 정보를 표시하지 않음에도 불구하고 접근 가능하다고 설명함. CNAM 데이터베이스를 조회하는 것은 무료가 아니지만, 상대적으로 저렴한 비용으로 수백 개의 번호를 조회할 방법을 찾을 수 있을 것이라고 함.
- 한 사용자는 PayPal이 이메일 주소만 알면 지역 코드를 포함한 다섯 자리 숫자를, 공격자가 대상의 비밀번호를 알면 세 자리 숫자만 표시한다고 지적하며, PayPal이 이를 설계상의 문제로 보고 조치를 취하지 않는다고 비판함. 또한 LinkedIn에서 번호를 얻는 방법이나 다른 곳에서 번호와 연결하는 방법에 대해 궁금해함.
- 다른 사용자는 가상 번호 사용을 고려하라고 조언하며, 두 번째 SIM 카드 옵션은 미국에서는 여전히 드문 경우라고 언급함. 또한 많은 사이트가 전화번호를 조회하여 VOIP 제공업체를 차단하는데, 이로 인해 계정을 다시 사용할 수 없게 되는 경우도 있다고 함.
- 스웨덴의 한 사용자는 자신의 이메일과 전화번호가 많은 전화번호부에 공개적으로 나열되어 있으며, 스웨덴에서는 주소와 전화번호를 검색 가능하게 하는 것이 표준 관행이라고 설명함. 이러한 공개된 개인정보가 사람들이 이 정보를 비밀로 여기지 않게 만들고, 누군가의 숫자를 알아도 그 사람을 사칭하는 데 도움이 되지 않는다는 긍정적인 측면이 있다고 언급함.
- 한 사용자는 개인정보 보호를 위해 이름을 약간 변형하여 언급하는 유머러스한 방식을 사용함.
- 한 벤처캐피털리스트는 이메일을 무시하는 사람들에게 유용한 기술이라고 언급함.
- 다른 사용자는 서비스마다 다른 이메일 주소와 Google Voice 번호를 사용하는 번거로움이 결국 가치가 있었다고 평가함.
- 한 보안 연구원은 이메일에서 전화번호를 자동으로 생성하는 도구와 같은 연구 결과를 공개하는 것이 정당화되는지에 대해 의문을 제기함. 나쁜 사용 사례가 좋은 이유보다 훨씬 많을 것이라고 주장하며, 연구원이 '연구'를 위해 이를 수행하고 회색 지대에 있기 때문에 면책을 받는지, 취약점을 공개한 회사와 대화를 나누어 문제를 해결했다고 느끼는지에 대해 의문을 표함.
- 마지막 사용자는 GitHub의 Python 프로젝트 트렌딩 페이지를 자주 확인한다고 언급하며, 해당 레포지토리가 왜 트렌딩되는지 혼란스러워함. 많은 서비스가 이미 취약점을 수정했음에도 불구하고 해커뉴스에 게시된 것만으로도 Python 트렌딩 페이지에 올라갈 수 있다는 점을 흥미롭게 생각함.