LG전자 입사지원서 유출의 진실 !!...해킹이라고???

2006/09/27 19:23 / 잡담
LG전자가 해킹되는 사고가 발생했다.
LG전자 관계자는 “회사 서버를 완전 해킹한 것이 아니라 별도로 운영하는 채용 서버를 해킹한 것으로 보인다”면서 “인적사항 등 암호화해 관리하는 부분 말고 텍스트로 보관하고 있는 지원자들의 학력과 자기소개서 등을 열람하게 만들었다”고 설명했다.
이 프로그램을 올린 ‘핑크팼다’라는 아이디의 네티즌은 게시글에서 “LG전자에 떨어진 기념으로 (해킹 프로그램을) 만들었다”고 밝혔다.

해킹이라고??........참내 어이없어서..;;;
해킹 프로그램이라고 말하는 그것을 나도 가지고 있는데, 단순한 html 파일 하나다.

LG전자의 웹 프로그래머가, 파라미터만 바꾸면,
인증없이, 딴 사람의 학력/자기소개서/경력사항 지원서를 볼 수 있도록 잘못 설계를 한 것이고, '핑크팼다'란 분은 그걸 발견한 것 뿐이다.;;

사진 : erec.lge.co.kr/sys/images/photo/500000.jpg
지원서 : erec.lge.co.kr/ca/PCA011F.jsp?processId=500000&newsId=1&newsTitle=2006&mode=V

(지금은 막았으니 안 열리는게 당연한데..)
빨간 부분이 보이는가?.....그 숫자가 지원자의 수험번호들이다.
번호만 바꾸면, 그냥 볼 수 있게....설계한 LG가 잘못한 것 뿐이다.

뉴스에는 꼭....
LG전자에 대단한 시스템이 있는 것 같고,
'핑크팼다'란 분을.......크게 해킹해서 잘못한 것처럼 묘사하고 있다. --;; (LG전자 관련자가 인터뷰 했겠지...)

'핑크팼다'란 분도........."LG전자에 떨어진 기념으로 만들었다".....라고만 했을 뿐, 직접 해킹 프로그램이라고 언급은 안했었다.
뉴스 기사에다가....괄호를 이용해서, 저렇게 간적접으로 언급을 하다니..--;;


SK는 어땠는지 아시나요??
주민번호와 이름만 입력하면, 지원서가 그대로 열렸었습니다.
물론, 주민번호는 알기 힘드니깐.....크게 공개가 안됐을 뿐.......비밀번호 인증 체크도 안했었다.!!!! 쯧쯧...

(지금은 서류전형이 끝났기 때문에, 내용이 안 열린다.)
예: 주민번호 810000 - 1111111 라고 한다면 주소가......
joinsk2.sk.co.kr/resume/resume2.asp?pCloseYm=200609A00S&pTitle=SK%20%uB300%uC878%20%uC2E0%uC785%uC0AC%uC6D0%20%uBAA8%uC9D1&pJuminNo1=810000&pJuminNo2=1111111&pName=이름

서류 접수 기간에는.......주민번호와 이름을 아는
다른 사람의 지원서를 직접 수정해서 저장할 수도 있었다!!!!!!!!!!!!!!!!!

제대로 개발 좀 하지???!!!!!!!
2006/09/27 19:23 2006/09/27 19:23
덕근닷컴 이 작성.

이 글의 관련글
    이글의 태그와 관련된 글이 없습니다.

TAGS , , , ,
1 개의 트랙백 , 6 개의 댓글

당신의 의견을 작성해 주세요.

  1. Comment RSS : http://dukgun.com/rss/comment/304

  2. oseb 2006/09/27 20:08  편집/삭제  댓글 작성  댓글 주소

    저런게 해킹이라고 알고 있는데 아닌가요?
    get 방식으로 http에 url을 넘길 때 그 파라메타 값을 조작해서 다른 질의 결과를 얻는다면
    그런 서비스를 제공한 쪽이 1차 잘못이지만 그런 시도를 혼자한 것이 아니라 공개한 것은 문제가 될 것 같습니다.
    요즘은 인증을 거치도록 하고 있는데 임시용으로 만든 거라 그런 신경을 안 썼군요.
    분위기는 어떻게 흘러가고 있는지 궁금하네요.

    • 덕근닷컴 2006/09/27 23:16  편집/삭제  댓글 주소

      댓글 감사드립니다.^^

      마우스 오른쪽 버튼 누르고, 속성으로 주소를 보거나,
      Ctrl + N 을 눌러서, 새창에서 주소를 보는 것은
      해킹이 아니라, 호기심의 결과물이라고 생각해 봤습니다.

      LG전자가 잘못은 인정 안하고...꼭
      서류전형에 떨어진 사람이....열받아서
      자기네 채용 서버의 시스템을 뚫은 것처럼 기사가 났기 때문에....어이없어서 작성해봤습니다. ~^^

  3. im4u 2006/09/27 20:16  편집/삭제  댓글 작성  댓글 주소

    저런걸 해킹이라 말할수 없죠. 엄연히 url 접근이 안되어야하는 페이지인데 접근할수 있게 만들어놓은 LG잘못이죠. 저 핑크팼다 란 분이 한 것이라고는 주소창에 주소를 적어 넣었을뿐 해킹이라 말 할 수 있는 어떤 기술을 써서 한게 아니죠. 그리고 언론은 핑크팼다 란 분을 아예 해커로 만들어서 엄청 대단한 시스템을 해킹한 것처럼 보도하고 있는데 그건 아니죠. 이분 아니었으면 오늘도 내일도 계속해서 개인정보가 유출되고 있는데도 몰랐을겁니다.

    • 덕근닷컴 2006/09/27 23:21  편집/삭제  댓글 주소

      댓글 감사드립니다.^^

      LG..SK....크다고 불리는 IT 기업들이...저런 어이없는 실수를 한다는게.....실망스럽습니다.

      지들 잘못을 인정하고, 핑크팼다 란 분을 고소나 하지 않았음 합니다.
      정보가 공개된 지원자들에게....보상이나 했음 좋겠는데요......^^

  4. 배가본드 2006/09/28 01:02  편집/삭제  댓글 작성  댓글 주소

    법적으로는 해킹아니네요. 서울신문에 난 기사 일부인데요..
    서울경찰청 사이버범죄수사대 관계자는 “사이트 운영진에서 허용된 사람만 접근할 수 있도록 권한 설정을 해 둔 상태에서 그걸 뚫어야 해킹이라고 볼 수 있다. 누구나 들어갈 수 있게 주소만 링크되어 있는 건 해킹이 아니다.”고 말했다.
    요렇다네요.

    • 덕근닷컴 2006/09/28 10:47  편집/삭제  댓글 주소

      사람들이 해킹이다/아니다 헷갈려했는데,
      사이버점죄수사대에서 확실하게 정의해주었네요~

      추가 정보 감사드립니다. ^^