수백만 명의 사람들이 SMS로 전송된 로그인 링크를 통해 위험에 처해 있습니다.

수백만 명의 사람들이 SMS로 전송된 로그인 링크를 통해 위험에 처했습니다 - Ars Technica 컨텐츠로 건너뛰기 Ars Technica 홈 섹션 포럼 구독 검색 AI Biz & IT 자동차 문화 게임 건강 정책 과학 보안 공간 기술 기능 리뷰 AI Biz & IT 자동차 문화 게임 건강 정책 과학 보안 공간 기술 포럼 구독 스토리 텍스트 크기 작음 표준 넓은 너비 * 표준 와이드 링크 표준 주황색 * 구독자 전용 자세히 알아보기 스토리에 고정 테마 HyperLight 주야간 다크 시스템 검색 대화 상자... 로그인 로그인 대화 상자... 로그인 개인 링크가 공개 정보를 유출하는 경우 SMS로 전송된 로그인 링크를 통해 수백만 명의 사람들이 위험에 처해 있습니다. 심지어 수백만 명의 사용자가 있는 잘 알려진 서비스에서도 민감한 데이터가 노출되고 있습니다. 댄 구딘 – 2026년 1월 21일 오후 6시 22분 | 69 텍스트 설정 스토리 텍스트 크기 작음 표준 넓은 너비 * 표준 넓은 링크 표준 주황색 * 구독자 전용 자세히 알아보기 탐색으로 최소화 문자 메시지로 전송된 링크와 코드를 통해 사용자를 인증하는 웹사이트가 수백만 명의 개인 정보를 위험에 빠뜨리고 사기, 신원 도용 및 기타 범죄에 취약한 것으로 나타났습니다. 링크는 보험 견적, 구직 목록, 애완동물 돌보미 및 교사 추천 등 다양한 서비스를 찾는 사람들에게 전송됩니다. 사용자 이름과 비밀번호를 수집하고 사용자가 이를 생성하고 입력하는 번거로움을 없애기 위해 이러한 서비스에서는 사용자가 계정에 가입할 때 휴대폰 번호를 제공하도록 요구합니다. 그런 다음 서비스는 사용자가 로그인을 원할 때 SMS로 인증 링크나 암호를 보냅니다. 대규모 실행이 용이합니다. 지난 주에 발표된 한 논문에 따르면 사용자 보안과 개인 정보를 위험에 빠뜨리는 175개 이상의 서비스를 대신하여 이러한 텍스트를 전달하는 700개 이상의 엔드포인트가 발견되었습니다. 사용자를 위험에 빠뜨리는 한 가지 방법은 쉽게 열거되는 링크를 사용하는 것입니다. 즉, 사기꾼은 일반적으로 URL 오른쪽에 표시되는 보안 토큰을 수정하기만 하면 사용자를 추측할 수 있습니다. 예를 들어 먼저 123을 124로 변경하거나 ABC를 ABD로 변경하는 등 토큰을 늘리거나 무작위로 추측함으로써 연구원들은 다른 사용자에게 속한 계정에 액세스할 수 있었습니다. 여기에서 연구자들은 부분적으로 완료된 보험 신청서와 같은 개인 정보를 볼 수 있었습니다. 다른 경우에는 연구원이 다른 사용자로 가장하면서 민감한 비즈니스를 거래했을 수도 있습니다. 다른 링크에서는 가능한 토큰 조합이 너무 적어 무차별 대입 공격이 쉬웠습니다. 조잡한 관행의 다른 예로는 무단 액세스 권한을 얻은 공격자가 SMS에서 보낸 링크를 클릭하는 것 외에 다른 인증 없이 사용자 데이터에 액세스하거나 사용자 데이터를 수정할 수 있도록 허용하는 링크가 있습니다. 많은 링크는 전송된 후 수년 동안 계정 액세스를 제공하므로 무단 액세스의 위험이 더욱 높아집니다. 뉴멕시코, 애리조나, 루이지애나 대학과 Circle 회사의 연구원들은 “우리는 이러한 공격이 규모에 맞게 테스트, 검증 및 실행하기 쉽다고 주장합니다.”라고 썼습니다. “위협