Cit0day

 

1. 개요


2020년 말 해킹한 계정정보를 거래하는 사이트 Cit0day의 데이터베이스가 다크웹에 유출되어 공유되었다.

이번에 유출된 웹사이트는 ‘.kr’ 기준으로 798곳이며, 약 1,364만(13,642,423)건의 계정정보가 리스트로 공개되어 있다.

국내 768곳의 웹사이트라면 내가 사용하는 계정도 노출이 되었을 것 같아 검색해보기로 했다.

 

(이 포스팅은 2020년 사건 당시에 했던 내용을 다시 재포스팅하는 것입니다. 유출된 정보를 악용하지 않으며 순수 본인의 개인정보 유출에 대해서만 조사하는 내용입니다.)

 

 

 

2. 파일 복사 및 압축풀기


유출 파일을 어렵게 구했다.

약 13GB의 용량이며 국내는 물론 해외 정보까지 모두 있는 파일이다.

 

Cit0day 파일은 아래와 같이 Cit0day와 Cit0day Prem으로 폴더가 나뉘어져 있었다.

Prem은 Premium을 뜻하는 것 같은데 아마도 유출정보를 판매할때 웃돈이 붙은 프리미엄 정보도 있었나보다.

 

Cit0day 파일 정보

 

각 폴더 안에는 아래처럼 사이트별로 유출된 파일이 있으며 각각 RAR 확장자로 압축되어 있다.

파일 개수는 약 2만 4천개이다. 즉 전세계 2만 4천곳의 사이트에서 개인정보가 유출되었다는 뜻이다.

Cit0day 파일 정보

 

 

대량의 텍스트 파일이므로 윈도우보다 리눅스에서 보는 것이 편할 것 같아 옮기기로 했다.

윈도우에서 리눅스로 파일을 옮길때 scp 명령을 사용하면 편리하게 옮길 수 있다.

13GB 파일을 약 5분만에 리눅스 서버로 전송했다.

 

파워쉘을 열고 아래 처럼 입력하면 된다. 그리고 입력한 계정의 ssh 패스워드를 입력하면 전송이 된다.

scp [파일명] [받는 서버쪽 ssh계정]@[IP]:[경로]

 

이제 압축을 푼다.

unzip으로 압축을 풀어준 후

unzip [파일명] -d [저장할 경로]

다시한번 rar 압축을 풀어야 한다.

아래와 같이 각각의 rar 파일을 풀어서 한 폴더에 때려넣었다.

find [경로] -name "*.rar" -exec unrar x -o- -pvrno {} [경로] \;

 

파일이 2만 8천개 풀렸다.

 

3. 정보 검색


 

모든 압축을 풀었으니 이제 내 계정을 검색해본다.

 

grep -r '검색할 내용 (이메일 등)' [경로]

 

 

내가 주로 사용하던 이메일 계정을 검색해보니 몇개의 사이트에서 내 정보가 유출된 것을 확인할 수 있었다.

 

나는 이미 패스워드를 자주 바꾸므로 그나마 다행이지만

생전 패스워드를 바꾸지 않는 사람도 많을 것이다. 그게 위험한 이유는 cit0day 같은 계정 유출 사건이 발생하면 

그 정보를 바탕으로 크리덴셜 스터핑 공격에 사용할 수 있기 때문이다.

보통 계정/패스워드를 동일하게 사용하는 사람이 많으니 다른 사이트에도 동일한 계정으로 로그인을 해보면 성공하는 곳이 분명히 생기게 된다.

패스워드 자주 변경하고, 사이트마다 패스워드 다르게 설정하라는 얘기가 괜히 하는 얘기가 아니다.

 

cit0day 같은 사건은 예전에도 있었고 앞으로도 계속 있을 예정이다.

 

반응형
  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기