메프도의 요약노트
이 글은
직접 제보를 통한 문제 해결이 완료된 이후
관련 행사가 모두 종료되고
오랜 시간이 지난 이후에 작성됨을 밝힙니다.
인생 네컷같은 네컷 사진을 정말 좋아하는 나는
한 좋아하는 브랜드의 팝업 스토어에서 사진 촬영을 하게 되었다
그런데 얻은 다운로드를 위한 주소가 너무나도 직관적이었다.
https://고유주소/aws리전/index.html?uuid=22글자
큰 기업은 이렇게도 관리하는구나
그래도 버킷은 안 열어놨겠지 하며
홀린듯 해당 버킷 주소로 접속해보았다.
리전 주소 보이는건 예전에 이미 다루었기에
넘어가기로 했다 ㅎㅎ...
그래도 여긴 버킷은 막았었다.
[Cloud] SKT의 유심교체 사태로 보는 AWS S3 보안
최근 SKT의 유심 정보 유출 사고로 인해 유심 교체 대란이 이어지고 있다.많은 사람들이 몰리고 있는 가운데, 나는 KT라 비교적 맘놓고 있지만이러한 많은 트래픽은 내 심장을 두근거리게 하기 충
mfdo.tistory.com
어....?
놀랍게도 버킷 접근 권한이 열려있었고,
촬영 일시, 만료일자, uuid 등을 확인할 수가 있었다...
일반적인 상황이라면
버킷 자체에 접근을 막아 아래처럼 보이는게 맞다
하지만 당시 사진을 다운 받기 위해선
주소에 UUID만 입력해 해당 사진을 특정하였기 때문에
내가 접근한 s3에서 촬영일시, uuid 값만 가져오면
타인의 영상 다운로드가 가능했다.
그리고 그게 정말 가능했던 상황
 |
 |
 |
어디로 문의 넣어야 할 지 몰라
해당 브랜드 사의 고객 센터에 직접 문제를 전달 드렸다.
굳이 이유를 길게 설명하진 않았고
간결하게 문제 상황을 전달했고
당시 아직 행사 종료까지도 꽤 남았었다.
그리고 또 쪼금 무섭기도 해서 더이상 접근하지 않는다는 말을 덧붙였다.
바로 다음주 빠르게 조치가 되어
답신도 받았다!
1차 답변을 받았을 때는 확실히 고객응대 팀이었던 거 같은데
2차 답변은 개발자 분이 직접 써주신 듯한 느낌이 들었다
어떻게 조치를 해주실 지 까지 작성해주셔서 우와아 하면서도 신기했다
나라면 어떻게 구현했을까 이것저것 공부해기도 했고
문의 넣을 때도 이게 기술적으로 옳은 표현일까?! 여러번 확인도 하고
나에겐 재미난 경험이었다!
'기술 단어장 > Cloud' 카테고리의 다른 글
| [AWS] AWS SAA(Solutions Architect - Associate) 6일 공부 후 합격 (0) | 2026.02.13 |
|---|---|
| [GKE] 난 이 글을 쓰고나면 클러스터 구성중 모르는 키워드는 없을거야! (0) | 2026.01.05 |
| [GCP] Azure VM 기반 Docker 환경에서 GCP 관리형 서비스로의 이관 (0) | 2025.10.21 |
| [Azure] 정적 웹 호스팅 비용 절감을 위한 전략 및 자동 배포 과정 오류 처리 (0) | 2025.05.21 |
| [Cloud] SKT의 유심교체 사태로 보는 AWS S3 보안 (0) | 2025.04.28 |
댓글