나는 지난 주말 밤 스티밋 계정을 잃어버렸다. OTL
저는 지난 주말 밤 끔찍한 일을 겪었습니다
제 스팀잇 계정을 잃어버린거죠...
그 끔찍한 사건의 경위는 이렇습니다.
(정말 떠올리고 싶지 않군요 ㅠ-ㅠ)
저는 평소 @krwhale 봇과 @tumble 님의 스티미언 지원 프로젝트를 자주 활용합니다.
이날도 최근 올렸던 호떡먹스팀 을 홍보하기 위해 krwhale 로 0.5SBD 를 전송했어요. 그리고 나서 스티미언 지원 프로젝트에 참여하기 위해 @tumble 님의 글에 댓글을 작성했습니다. 그 때는 인지하지 못했지만... 아래와 같이 말이죠.
링크 : P.5ZzzZzZzZnpmjZhZDJuDeZ4SyW88xHtNXhZZZZZZZz3zZ7ZzZzz
저자 : @coffeex
호떡먹스팀 입니다 ㅋ
설마? 라고 하시겠지만... 그렇습니다. 저는 제 오너키를 세상에 널리 알리고자 댓글로 남긴 것이죠. 포스트의 링크를 복사한다고 한게 복사가 안됐고 그 전에 클립보드에 저장되어 있던 오너키가 입력되어 버린거죠. 정말 누가 저런 실수를 할까? 싶지만... 제가 그랬습니다. 마지막 호떡먹스팀 입니다 ㅋ
의 ㅋ 가 마치 저를 계속 비웃는 것 같은 느낌인건 왜일까요 ㅠ______ㅠ
제가 저런 어리석은 짓을 저지르는 동안 대체 스팀잇 UI는 무얼 했느냐? 원망할수도 없습니다. 스팀잇은 빨간 영어 글자들로 저에게 경고했습니다. 우린 너에게 어떤 경우에도 오너키를 요구하지 않는다.
라면서...
어떤 사건이 발생하기 위해서는 타이밍이 중요한 법이죠. 저는 조선명탑정3
를 보기 위해 영화관에서 광고를 보던 중이였습니다. 영화가 시작하기전 짬을 내어 스팀잇질을 하고 있었어요. 마침 제가 댓글을 입력하고 위의 경고를 보게된 딱 그 순간 영화가 시작됩니다.
저는 경고를 무시하고 "저장" 을 눌렀습니다. OTL
사실 그 때는 경고 문구를 제대로 읽지도 못했어요...
그 때의 절망적인 심정을 표현하기 위해 그려봤습니다. (Tool : PhotoScape X)
저장된 댓글에 키 값이 남겨있는 걸 알아채고 제가 첫 번째로 하려고 한 대응은 "삭제" 였습니다. 블록체인에 남은 데이터가 삭제되지 않는다는 사실을 잘 알고 있음에도 불구하고 말이죠. 댓글 삭제를 시도했지만 실패했고 영화가 시작되어 더 이상 영화관 내에서 스마트폰을 켜고 있을수가 없어 상영관 밖으로 뛰어 나왔습니다.
제 계정의 권한을 상실했다는 것을 깨달았고 지갑을 확인해보았습니다.
제가 알지 못하는 계정으로 가지고 있던 Steem과 SBD가 모두 송금되었더군요. 제가 오너키를 댓글에 기입하고 나서 불과 얼마되지 않아 발생한 일입니다. 정확하게 말하자면 6초 후에 송금이 완료되었고 12초 후에 비밀번호가 변경되었습니다.
[
3046, // 댓글을 남기고...
{
"trx_id": "ef971edcebcd93a640ddd13a32281a28dd7fa9d7",
"timestamp": "2018-02-10T12:17:03",
"op": [
"comment",{
"author": "coffeex",
"permlink": "re-tumble-2018-02-10-20180210t121701949z",
"body": "링크 : P.5ZzzZzZzZzzzzZzZzZzZzZ4ZzW88xHtNXhPCMRNGMa3nE7QgFcm\n저자 :@coffeex\n\n호떡먹스팀 입니다 ㅋ",
}]}], [
3047, // 6초 후에 SBD 송금...
{
"trx_id": "846df164f3dec41e4739da2bee08d412a6bb765b",
"timestamp": "2018-02-10T12:17:09",
"op": [
"transfer", {
"from": "coffeex",
"to": "jiganomics",
"amount": "31.304 SBD",
}]}], [
3048, // 6초 후에 STEEM 송금...
{
"trx_id": "2c14af1c1b39152b3964a083c56b14819cef8d68",
"timestamp": "2018-02-10T12:17:09",
"op": [
"transfer",{
"from": "coffeex",
"to": "jiganomics",
"amount": "394.950 STEEM",
}]}],[
3049, // 9초 후에 비밀번호 변경...
{
"trx_id": "00501ccd6babc18dc4cebc5e95e78a40e21c3787",
"timestamp": "2018-02-10T12:17:12",
"op": [
"account_update",{
"account": "coffeex",
"owner": {...},
"active": {...},
"posting": {...}, ....
]}],
지금에야 마음을 내려놓고 이렇게 편안하게 글을 남기고 있지만... 막상 이 때는 놀라기도 하고 어떻게 해야할지 모르겠고 정말 많이 당황했었습니다. 계정을 복구할 수 있을지도 불투명했으니까요.
정신을 차리고 Steemit 메뉴를 하나씩 눌러보니 우측 상단의 햄버거 버튼(요렇게 생긴 > 三)을 클릭하니 도난계정복구
라는 기능이 보입니다. 눌러보면 ~
계정을 탈취당한 후 30일까지는 변경되기 이전의 비밀번호를 사용해서 계정복구를 요청할 수 있다고 합니다. 계정을 탈취한 해커는 가입 시 사용한 이메일 계정을 알지 못하고 알더라도 로그인할 수 없으니 계정복구를 요청할 수 없는 것이죠. 우선 서둘러서 계정복구를 요청했습니다.
실제 계정복구 요청은 계정 탈취 후 수분 이내에 했습니다만 Account History 에서 확인해보면 10시간 정도 뒤인 2018-02-10T22:15:03
에 요청 되었고 3초 뒤에 바로 승인이 된걸 보면 Steemit 웹 사이트에서 1차 요청을 받고 실제 그 요청을 처리하는 별도의 프로세스를 가지고 있는 것으로 추측됩니다.
3054, {
"trx_id": "3936be26fcdcbb2f4a7d03e912df0683700c8ba6",
"timestamp": "2018-02-10T22:15:03",
"op": [
"request_account_recovery", ... ]}], [
3055, {
"trx_id": "9766fb46d3dd38b38f6480ee1ff4b179fccd84ee",
"timestamp": "2018-02-10T22:15:06",
"op": [
"recover_account", ... ]}],
계정 복구를 요청하고 나서도 마음이 놓이질 않았습니다. 화가나기도 하고... 한국 커뮤니티에 버스터콜을 요청합니다. +_+;;;; 이제와서 생각하면 많이 민망합니다만... 그 때는 제가 할 수 있는 일이라곤 그것 밖에 생각이 안나더군요
그 와중에 구글번역기를 돌려서 영문으로도 글을 남기고 @ned 를 멘션합니다. ㅋㅋㅋㅋㅋ 테스트용으로만 사용하던 부계정으로 글을 남기고선 노출이 되지 않으니 답답한 마음에 다른 포스트에서 한국 커뮤니티 분들 ID를 몽땅 긁어서 멘션하기에 이릅니다. 아무런 친분도 없는 분들인데 혹여 불편하게 생각하셨다면 사과드립니다. (__)
이날 오픈 채팅방 만들어주시고 위로해주셨던 @julianpark 님 정말 감사했습니다 !!
그렇게 호들갑을 떨고 탈취당한 계정을 복구할 수 있었습니다. 지금 와서 생각해보면 이렇게 계정을 탈취당했을 때 가장 우선적으로 할 수 있는 조치는 댓글 삭제가 아니였습니다.
첫번째는. STEEM, SBD 를 송금하거나 파워업 하는 것입니다.
물론 해커가 비밀번호 변경을 완료하고 나면 불가능합니다 ㅠ_ㅠ 해커들은 봇을 통해서 일련의 작업들을 수행하므로 실제로 유효한 시간내에 송금을 하기란 거의 불가능에 가까울 것 같아요.
두번째는. 도난계정복구를 신청하는 것이구요.
그리고는 기다리는 것 외에는 할 수 있는게 아무것도 없었습니다. 다음날 계정이 복구되기까지 참 마음 많이 졸였습니다. 멍청한 실수를 한 제 자신이 참 한심하기도 하구요.
그렇다면 해커의 정체는 ?? @jiganomics ??
제 피같은 STEEM과 SBD를 가져간 그 놈의 내역을 조사해보기 시작했습니다. 대체 어떤 놈인지 !!
최근에 포스팅을 하고 있는 유저는 아니였습니다. 많은 계정들로부터 송금을 받고 있었고 모든 STEEM과 SBD는 @monicaways 라는 또 다른 계정으로 보내진 후 BlockTrade 를 통해 출금되었습니다. @jiganomics 외에도 동일한 역할을 하는 계정들이 몇 있었고... 실제 @jiganomics 에게 송금한 유저들이 피해자인지를 확인하는 것은 어렵지 않았습니다.
Receive 3.709 STEEM from onlineguru78
https://steemit.com/hacked/@onlineguru78/i-got-hacked-on-steemit-please-help
11일 전 Receive 2.769 SBD from alexandera
https://steemit.com/openmic/@alexandera/openmic-week-70-cover-song-by-alexandera
18일 전 Receive 2.740 SBD from fromhell2sky
https://steemit.com/steemit/@fromhell2sky/my-come-back-the-return-of-from-hell-2-sky
Receive 120.000 SBD from justnowandthen
https://steemit.com/@justnowandthen/transfers
그저께 Receive 120.000 SBD from
3일 전 Receive 0.001 STEEM from alexwonderful
3일 전 Receive 187.162 SBD from alexwonderful
https://steemit.com/@alexwonderful/transfers
8일 전 Receive 0.001 STEEM from navaneeth
8일 전 Receive 17.762 SBD from navaneeth
https://steemit.com/steem/@navaneeth/please-help-my-account-seems-to-be-hacked-with-sbd-transferred-to-jiganomics
9일 전 Receive 29.091 SBD from hafizul
9일 전 Receive 0.005 STEEM from hafizul
9일 전 Receive 44.656 SBD from hafizul
https://steemit.com/steemit/@hafizul/thief-alert-please-be-careful
10일 전 Receive 8.327 SBD from sawmyattun
10일 전 Receive 0.259 STEEM from sawmyattun
11일 전 Receive 0.990 STEEM from yanebomg
https://steemit.com/@yanebomg/transfers
12일 전 Receive 0.945 STEEM from minasmsm1
12일 전 Receive 9.638 SBD from minasmsm1
https://steemit.com/football/@minasmsm1/brvs-egy-2009
16일 전 Receive 43.000 STEEM from russiandoll
https://steemit.com/@russiandoll/transfers
17일 전 Receive 0.001 SBD from peacelife
17일 전 Receive 10.963 STEEM from peacelife
https://steemit.com/@peacelife/transfers
메모에 오너키를 남기거나 포스팅, 댓글에 키값을 입력한 후 저와 동일한 수법으로 송금 / 계정 탈취를 당한 유저들입니다. 적지 않은 유저들이 각각 다른 양의 STEEM, SBD를 잃어버리고 @jiganomics 계정에 다운보팅을 하기도 하고 댓글로 욕을 남기기도 하더군요. 하지만 @jiganomics 계정 또한 탈취당한 계정인지 해커 본인의 계정인지 조차도 알 수 없는 일이죠.
처음 이 일을 겪고나서 참 많이 화도 나고 속도 상하고 Steemit을 계속해야 하나 싶기도 하고 제 실수가 한심하게 느껴지기도 했습니다. 지금은 다시 처음처럼 스티밋을 열심히 하고 있습니다.
분명 저는 어리석은 실수를 했습니다.
그렇지만 누구라도 이런 상황에 빠질 수 있다고 생각합니다. 스팀잇에서 우리는 단순히 포인트가 아닌 실제 자산과 연동된 STEEM, SBD를 가지고 활동 합니다. 스팀잇은 정말 우리의 소중한 자산을 보호하기 위한 충분한 기능을 갖추고 있는 걸까요?
스티밋 비밀번호 변경 페이지에 있는 내용입니다.
첫번째 규칙: 비밀번호를 잃어버리지 마세요.
두번째 규칙: 비밀번호를 잃어버리지 마세요.
세번째 규칙: 잃어버린 비밀번호는 복구 해드릴 방법이 없습니다.
네번째 규칙: 기억할수 있는 비밀번호는 안전하지 않은 비밀번호 입니다.
다섯번째 규칙: 무작위로 생성된 비밀번호만 사용하세요.
여섯번째 규칙: 비밀번호는 혼자만 간직하세요.
일곱번째 규칙: 비밀번호를 반드시 백업해 두세요.
네번째 규칙에 의문을 제기하고 싶습니다.
정말 기억할수 있는 비밀번호는 안전하지 않은 걸까요? 기억할수 없는 비밀번호는 항상 Ctrl C+V 해야 합니다. 눈으로 확인하기 힘든 클립보드에 저장되어 있을 수 있고 언제든 실수로 붙여넣을 수 있습니다. 기억할 수 있더라도 일정 조건 이상의 강력한 패스워드가 더 안전한 것은 아닐까요?
스팀잇에 지속적으로 몇 가지 개선 요청을 하고자 합니다.
- 10STEEM, 10SBD 등 일정 금액 이상을 송금 할 때 2FA 인증을 적용하자.
- 액티브키 만으로 송금을 할 수 없게 하자.
- 다른 페이지에서는 액티브키로 로그인이 불가능하지만 해당 계정의 지갑 페이지에서는 로그인이 가능하고 송금까지 가능합니다. 결과적으로 액티브키만으로 로그인 후 송금이 가능한 것이죠. 오너키를 사용하지 않고 포스팅키와 액티브키를 사용한다고 하더라도 액티브키 노출 시에 자산을 잃어버릴 수 있다는 의미입니다.
- 포스팅, 댓글에 개인키 입력시 노출되는 경고 메시지들을 번역해서 더 명확하게 인지되도록 하자.
- Utopian 프로젝트 등을 통해서 직접 개선할 수 있을거라고 생각됩니다.
- 악의적인 활동을 주 목적으로 하는 것이 분명한 계정을 제재하자.
- @jiganomics, @monicaways 등의 계정은 포스팅을 한다거나 하는 스팀잇 생태계를 위한 어떤 활동도 하지 않습니다. 적극적인 해킹은 아니더라도 유저들의 실수를 기다리고 있다가 그 들에게 자산 피햬를 입힙니다. 이런 경제적, 정신적 피해는 스팀잇 유저들에게 정말 끔찍한 경험을 주게 됩니다.
- 개인키 노출 시 해커가 사용한 방법과 동일한 방법으로 계정을 잠금하고 계정복구 요청을 통해 피해없이 계정을 복구할 수 있도록 지원하자.
- 100% 유효하게 동작시키기는 어려운 방법입니다. 해커보다 빨라야 하고 공식적인 기능이 아니라면 일부 유저들에게 오해?를 살수도 있을 것 같습니다. 다만 명확한 룰에 의해서 운영되고 많은 개발자들의 조언과 도움을 얻는다면 키를 잃어버리는 실수를 하는 유저들을 피해로부터 보호할 수 있지 않을까 생각해봅니다.
피드백 및 조언 부탁드립니다.
제 고민과 제안에 부족한 부분들이 있을 듯 합니다. 많은 조언과 피드백 부탁드리겠습니다. 긴 글 읽어주셔서 감사합니다.
다들 자나깨나 개인키 관리 주의하시고 새해 복 많이 받으세요 !!
2018년 액땜은 제가 대신 해드린 것으로...
사실,, 키 구분을 제공하는 스팀잇의 보안은 괜찮은편인데, 2FA는 괜찮은 방법인듯합니다. 포스팅키를 애용합시다 ㅠㅠ
@julianpark 님 그 날은 정말 감사했습니다.
저도 보안에 대해서 크게 고민하지 않고 쓰고 있었는데... 한 번 겪고나니 조금 더 고민이 되더라구요.
실제 자산과 밀접하게 연관되어 있는 만큼 보안이나 복구, 개인의 피해에 대해서 더 안전장치가 마련되어야 하지 않나 하는 생각들을 해봤습니다. 그래야 스티밋도 더 많은 유저들을 수용할 수 있을테구요
에효..
위로 드립니다. 얼마나 마음 졸이셨을지....
위급상황에 버스터콜이 가능하신 인복과 스티미언들의 상냥함에 감동받고 갑니다
위로 감사합니다 ^^
포스팅키 쓰면 안전합니다.
뉴비가 오면 제일 먼저 알려야 할 사항이 포스팅키와 액티브키 사용하는 방법인것 같아요...
팔로우 많이해라...이런 내용보다.
마스터키 쓰지말고 포스팅키로 로그인 해라가 더 중요한것 같습니다.
키 차이를 모르는 사람이 너무 많아요...
맞습니다 기본적으로 포스팅키 쓰는건 정말 필수라고 생각되네요 저 또한 가볍게 여겼구요
진임으로 위로를, 2차피해예방을 위한 정보공유엔 감사를 드립니다.사건개요를 보니 누구나가 쉽게 그런 실수의 개연성이 있네요. 개선사항들은 개발자들이 신경썼으면 좋겠네요.
맞아요 분명 개선되어야할 부분이 있다고 생각됩니다
개선을 적극적으로 제안할 방법을 찾아봐야할 것 같아요
위로 감사합니다 !!
1/2/3 모두 탁월하게 좋은 아이디어라고 생각합니다. 특히 2번은 심각한 보안 위해요소임에도 개선되지 않고 있어서 큰 문제가 됩니다. 액티브 키만으로 로그인이 되고 돈을 보낼 수 있다면 포스팅 키의 존재가 의미가 없습니다.
3번도 개선여지가 있습니다. 암호가 들어가면 아예 글을 게시 할 수 없도록 만들어야 됩니다.
저도 동의합니다 액티브키만으로는 로그인이 불가능해야 충분한 안전장치가 된다고 생각해요
스팀잇에서 송금 할 때 늘 조심을 하지만 송금 버튼을 누른 순간은 다시 되돌릴 수 없는 아주 취약한 약점이 있습니다
"2FA", 또는 "2차 개인 PIN 번호"는 스팀잇 송금에서 정말 정말 필요한 안전한 결제 장치가 되지 않을까 생각합니다
한가지 놀라운 점은 불과 몇초내에 어떻게 해커(도둑놈)는 계정키를 훔쳐가는지... 정말 스팀잇의 아주 나쁜 단점 중의 단점입니다
맞아요 제 모바일 웹 환경(iphone x) 에서는
input box 커서가 송금 버튼과 겹쳐 나타나는 ui버그도 있어서 송금할때 엄청 조심스러워 집니다
(기회가 되면 다음에 포스팅 해보겠습니다)
정말 큰일을 겪으셨군요!
저는 그래서 암호키를 외우려고 생각중입니다.
이 문제에 대한 대책이 시급해보입니다.
(팔로우 하고 갑니다.)
암호키를 외우다니 !! 그건 생각 못해봤네요 ㅋ
대단한 암기력이시군요 ~
하루에 한 글자씩 외우면 가능하지 않을까요?ㅎㅎ
위로의 말씀을 드립니다
위로 감사합니다 !!
Nice post @coffeex
Thanks @omerlubis
복사해서 붙이기를 하니 누구나 실수할수 있는것같아요. 정말 끔찍하셨겠어요. 그래도 잘 해결되셨다니 다행입니다. 저도 주의 또 주의 해야겠네요!!
네 빨간 경고 글이 노출되면 일단 취소 !!
주의해야 할 것 같아요 ~