ブラン・メティスクーパン情報保護最高責任者(CISO)はクーパンの会員個人情報流出に関連し、「攻撃者と見られる人物が盗んだ署名キーを使用して実際のキーに署名し、他のユーザーのように成り済ました」と2日に明らかにした。
メティスCISOはこの日、国会科学技術情報放送通信委員会で開かれた第18次全体会議で、改革新党の李俊錫(イ・ジュンソク)議員の「攻撃者はどのようにデータベースにアクセスして情報を取得したのか」という質問にこのように説明した。
李議員はメティスCISOに「今回の攻撃が顧客情報の窃取を目的としていたのか、クーパン全体のシステム奪取を目的としていたのか必ず把握すべきだ」とし、「犯罪に悪用された認証キーの性格は何か」と質問した。
これに対しメティスCISOは「情報保安責任者として攻撃過程で技術的要素がどのように展開したかは把握しているが、警察の捜査が進行中の事案であり、社員の動機については言及できない」と答えた。
メティスCISOは、攻撃者と推定される人物が使用したというトークンの暗号キーについて、「正常にログインした顧客がサービスを利用するために顧客に付与されているトークンを媒介するものだ」とし、「顧客がデバイスに接続すると顧客が誰かを識別できるようにする技術だ」と説明した。
メティスCISOは「調査によれば、顧客のクレデンシャル(認証キーなど)やハッシュ値、パスワードなどの情報が露出したとは見ていない」とし、「攻撃者だと考えられる人物は盗んだ署名キーを使用し、実際にキーに署名して他のユーザーであるかのように成り済ました」と述べた。
さらに「現在の調査によれば、攻撃者は奪取した署名キーを活用し、あたかも他のユーザーであるかのように成り済ましてサーバーにアクセスした」とし、「すべてのクーパン認証トークンはプライベートキー(暗号化されたコード)に署名することで検証されるが、第3者がクーパンのプライベートキーを活用して偽のトークンを作った」と説明した。
また「攻撃者がクーパンに接続する際、クーパン内部にある(APIを)使用したのではなく、外部のAPIを操作して使用した」とし、「クーパン内部システムのロー(未加工の)データベースにはアクセスできなかった」と答えた。
一方、メティスCISOは流出事故を引き起こした社員の動機について「警察の捜査が進行中のため、回答できない」と述べた。