1월 26일, 중국 CCTV 동방시공에서 ‘즈푸바오(支付?) “비밀번호 찾기”기능에 취약점이 존재한다’는 주제로 방송을 진행했다.
 
내용을 보면 얼마전 즈푸바오(支付?) 개인정보유출 사건과 관련이 있다. 해커는 유출된 개인정보를 이용해 “비밀번호 찾기”기능으로 사용자 즈푸바오(支付?) 액세스 권한을 획득하는 방법으로 계좌이체 목적을 달성했다.
 
프로그램 방영 시 사회자의 소개에 따르면 해커는 피해자의 이름, 휴대폰번호와 신분증 정보를 이미 알고 있었다.
 
해커는 우선 신분증을 위조 후 피해자의 휴대폰 카드를 재발급 받는다. 만약 피해자의 즈푸바오(支付?) 계정과 해당 휴대폰번호가 묶여있다면 “비밀번호 찾기” 기능을 통해 즈푸바오(支付?) 계좌의 비밀번호 재설정을 실현할 수 있다.
 
“비밀번호 찾기” 기능은 사용자 편의를 위한 기능이지만 해커들에 의해 불법적으로 이용되고 있었다.
 
인터뷰 과정에서 사회자는 해커가 설명하는 절차대로 테스트를 진행했다. 우선 즈푸바오(支付?) 홈페이지에 접속 후 “비밀번호 찾기” 기능을 클릭한다. 다음 사용자 계정을 입력하면 비밀번호를 찾을 수 있는 2가지 방법을 제공하는데, 여기에서 휴대폰 인증과 신분증 번호입력을 통한 비밀번호 찾기 방법을 선택한다. 마지막 전송된 휴대폰 문자 인증번호와 신분증 번호를 입력한 결과 비밀번호를 재발급 받을 수 있었다.
 
전문가들은 휴대폰 인증 및 신분증 번호를 입력하는 외에 메일정보 입력 등 다중 보안설정을 권장한다고 건의했다.
 
[뉴스제공. 중국 보안정보 전문기업 씨엔시큐리티 / www.cnsec.co.kr]