연구자들이 30만 건 이상의 개인 식별 정보 파일을 발견함
이 파일들은 AI 챗봇 스타트업 WotNot에 속함
정보가 처음 공개된 후 2개월 이상이 지나도록 닫히지 않음
346,381개의 파일이 포함된 대규모 구글 클라우드 저장소가 온라인에서 보호되지 않은 상태로 발견됨, 전문가들이 경고함.
CyberNews의 연구자들이 발견한 노출된 파일들은 여권, 의료 기록, 이력서 등 개인 정보의 '보물창고'를 포함하고 있으며, 물론 전체 이름, 연락처 정보, 주소도 포함됨.
저장소는 누구나 인증 없이 접근할 수 있었고, 초기 공개 알림이 전송된 후 2개월 이상 열려 있었음.
아웃소싱의 위험
WotNot은 기업에 AI 챗봇을 제공하며, '24/7 개인화된 경험'을 제공한다고 자랑함. 이 스타트업은 3,000명의 고객을 보유하고 있으며, 보험, 금융, 의료, SaaS, 은행 등 다양한 분야에 서비스를 제공함. 고위 고객으로는 캘리포니아 대학교, Chenening, Amneal Pharmaceuticals 등이 있음.
시스템과 자원에 대해 제3자 공급업체를 사용하는 것은 매우 일반적이지만, 공급업체가 손상되면 기업이 위험에 처할 수 있음. AI 서비스는 특히 상호 연결되어 있어, 고객이 챗봇에 식별 정보를 입력하도록 유도되기 때문에 데이터의 통제되지 않은 흐름을 가져올 가능성이 높음.
이번 사건과 최근의 Blue Yonder 랜섬웨어 공격은 제3자와 협력할 때 강력한 심사와 빈번한 사이버 보안 평가의 중요성을 보여줌.
개인 식별 정보가 포함된 데이터 유출은 고객과 조직 모두에게 위험을 초래함.
“WotNot의 규모는 작을 수 있지만, 이 유출은 영향을 받는 개인에게 상당한 보안 및 개인 정보 보호 위협과 영향을 미침. 노출된 개인 문서는 신원 도용, 의료 또는 직업 관련 사기, 다양한 다른 사기를 위한 완벽한 도구 키트를 제공함.” Cybernews 연구자들이 말함.
고객 차원에서 신원 도용 및 사회 공학 공격의 위험이 있으며, 개인 데이터는 특정 개인에 맞춘 피싱 공격을 설계하는 데 사용될 수 있거나, 신원 문서는 대출을 받거나 사기를 저지르는 데 사용될 수 있음.
