TeenSafe 부모 모니터링 서비스, 수천 명 아동의 비밀번호 유출

부모가 iPhone 및 Android 기기에서 자녀의 인터넷 활동을 모니터링하는 데 도움을 주기 위해 설계된 서비스가 수천 명 사용자의 비밀번호를 유출했다고 ZDNet이 보도했습니다. 이 서비스인 TeenSafe는 부모가 자녀의 문자 메시지 대화를 보고, 통화 상대를 모니터링하고, 위치 및 웹 브라우징 기록에 접근할 수 있도록 설계된 “안전한” 모니터링 앱이라고 주장합니다. 그러나 iOS 기기의 경우 이 서비스는 부모가 자녀의 Apple ID 비밀번호를 제공해야 하며, 이는 회사의 서버에 저장되어 iCloud 데이터에 접근하기 위한 것일 수 있습니다.

그러나 영국의 보안 연구원인 로버트 위긴스는 지난주 TeenSafe가 실제로 하나 이상의 서버를 보호하지 않고 비밀번호 요구 없이 누구나 접근할 수 있도록 방치했다는 사실을 발견했습니다. ZDNet은 이 회사에 경고했으며, TeenSafe의 대변인은 “우리는 공공에 대한 서버 중 하나를 종료하고 잠재적으로 영향을 받을 수 있는 고객에게 알리기 시작했습니다.”라고 밝혔습니다. 문제의 서버는 부모의 이메일 주소와 해당 자녀의 Apple ID, 기기 이름 및 평문 비밀번호가 포함된 데이터베이스를 저장하고 있었습니다. 기록에는 사진, 메시지 또는 위치와 같은 개인 콘텐츠 데이터는 포함되어 있지 않았지만, Apple ID 비밀번호는 누군가 자녀의 iCloud 계정 및 iCloud 백업에 접근할 수 있게 할 수 있습니다. TeenSafe는 서비스 사용을 위해 이중 인증이 비활성화되어야 한다고 명시하고 있습니다.

ZDNet은 서버가 오프라인으로 전환되기 전에 지난 3개월 동안 최소 10,200개의 고객 데이터 기록이 포함되어 있었다고 언급했지만, 일부는 중복된 것이라고 덧붙였습니다. ZDNet은 유출된 데이터에 포함된 이메일 주소를 가진 부모 12명의 샘플에 연락하여 자녀의 이메일 주소를 포함한 정보가 최근에라도 정확하다고 확인했습니다. TeenSafe는 서비스 사용자가 백만 명이 넘는다고 주장하며, 추가 데이터가 포함된 다른 노출된 서버가 존재하는지, 왜 민감한 데이터가 평문으로 저장되었는지는 알려져 있지 않습니다.