프라이빗 서명키가 방치되어있으니
이걸 이용해서 토큰생성해서 서버에서 다이렉트로 계정별 로긴기록안남기고 마이페이지에 표출될 정보를 취득 ..
이걸하려면 3000만명치 크롤링하는 자동화도 있어야하지만 가장중요한게 결국 보려는 유저의 정보가 있어야할텐데(id 풀이있었는지.. id없이 db의 유저테이블 넘버값을 호출하면 그 id에 해당하는 데이터가 그냥 리턴되는건지 이게 어디서 난건지는 국회쪽 내용을 봐도 모르겠네요
a@naver.com 유저인척 인증처리후 a@naver.com의 마이페이지에 나올 주문정보를 얻는다는 멀쩡해보이지만 a@naver.com 유저인척 했는데 db의 403928번째 회원정보의 주문정보를 달라고했는데 서버가 옜다하고 주는건 이상하니까요.)
무엇이되었던 서명키방치에 신뢰되는 자기네 서버가아닌 외부에서 바로 호출이 반복되는데 6달동안 캐치도못한 총체적 부실인건 변함이 없어보이네요
작은 기업도 아닌 대기업들이 말이죠 ㅠㅠ
진심 매번 주먹구구라는게 더 놀라워요...........
크레덴셜만 발급하면 일반 구매자도 API 사용이 가능했나보네요.
하나의 개인키로 크레덴셜을 발급했으면.. 담당 직원이 퇴사해도
개인키 교체가 쉽진 않았겠네요. (뭐 그렇다고 쿠팡에 문제가 없다는건 아니고요)
서명을 안하고 인증됐을리는 없고 어떻게듯 프라이빗 서명키로 서명이 됐다는것 같은데, 그게 그냥 직원이 옛따 서명 할수 있는 구조였다면 그건 그대로 문제 아닌가 싶긴한데요.