하아 .. 일하다 어이 없는 소식을 들었다 KT 홈페이지를 통해서 천만이 넘는 고객 정보가 유출 되었단다.
해당 데이터들을 보는 순각 경악을 금치 못했다...
나의 모든 데이터가 담겨 있다. 이름, 민증, 전화번호만 있음 신경도 안썼을거다.
내가 사용하는 요금제, 휴대폰, 할부 기록, 카드사, 카드 유효기간까지 ..
** 지금부터 공개하는 정보는 제 계정으로 가져온 AJAX 데이터를 브라우저의 개발자 도구를 통해 확인한 결과물입니다. **
그냥 하나씩 살펴보자
"pfmGlobalNo": "99111002014030616**"
"prdc_CD": "",
"bill_AMNT": "79520",
"bill_ITEM_CD": "EQ000",
"item_CD_NM": "단말기대금",
"detail_IND": "Y",
"scrn_INDC_ORDR_CD": "030010",
"cls_IND": "B",
"item_CD_NM_ENG": "monthly handset fee"
그래 이제 내 요금 정보가 나오는구나
"prdc_CD": "",
"bill_AMNT": "67000",
"bill_ITEM_CD": "MA000",
"item_CD_NM": "월정액",
"detail_IND": "Y",
"scrn_INDC_ORDR_CD": "070010",
"cls_IND": "B",
"item_CD_NM_ENG": "monthly access"
허헐 이제 부가 서비스도 나오나
{
"prdc_CD": "",
"bill_AMNT": "5100",
"bill_ITEM_CD": "VR000",
"item_CD_NM": "부가서비스(음성형)",
"detail_IND": "Y",
"scrn_INDC_ORDR_CD": "130010",
"cls_IND": "B",
"item_CD_NM_ENG": "Features(voice)"
}, {
"prdc_CD": "",
"bill_AMNT": "2000",
"bill_ITEM_CD": "DR000",
"item_CD_NM": "부가서비스(데이터형)",
"detail_IND": "Y",
"scrn_INDC_ORDR_CD": "150010",
"cls_IND": "B",
"item_CD_NM_ENG": "Features(Data)"
"prdc_CD": "",
"bill_AMNT": "153510",
"bill_ITEM_CD": "CC000",
"item_CD_NM": "당월요금계",
"detail_IND": "N",
"scrn_INDC_ORDR_CD": "800010",
"cls_IND": "B",
"item_CD_NM_ENG": "used amount"
}, {
"prdc_CD": "",
"bill_AMNT": "0",
"bill_ITEM_CD": "LP000",
"item_CD_NM": "미납요금계",
"detail_IND": "N",
"scrn_INDC_ORDR_CD": "800020",
"cls_IND": "B",
"item_CD_NM_ENG": "unpaid amount"
}, {
"prdc_CD": "",
"bill_AMNT": "153510",
"bill_ITEM_CD": "TD000",
"item_CD_NM": "총청구금액",
"detail_IND": "N",
"scrn_INDC_ORDR_CD": "800030",
"cls_IND": "B",
그래 난 자랑 스럽게도 미납 요금 따윈 없다 !!!
그럼 또 뭐가 나오나 볼까 ?
"dst_M_INST_RMND_MNY_DTL_LIST": [{
"svc_CNTR_NO": "47937**",
"unts_SVC_CD": "EQCEXN",
"intm_MDL_ID": "6905",
"tlph_NO": "01022**03**",
"intm_MDL_NM": "SHV-E210KW",
"unts_SVC_NM": "단말기할부금",
"intm_SRL_NO": "00852**",
"sls_NO": "P6037",
"grnt_INSR_MNGM_NO": "201207249269**",
"bill_BLNC": "165800",
"rmnd_INST_CNT": "4",
"ttl_INST_AMNT": "994***0",
"inst_STRT_DATE": "20120724",
"dfr_INST_YN": "N",
"dfr_INST_MNTH_CNT": "0",
"ttl_INST_TMSCNT": "24",
"inst_SRL_NO": "1000044709**",
"buy_DATE": "20120724",<- 내 전 휴대폰을 이날 샀구나.. 고마워 기억나게 해줘서
"clcl_TRGT_END_DATE": "20140630", <- 그때 산 휴대폰 할부금 올해 6월에 끝나... 아직도 남았어 .....
"mm_INST_AMNT": "41410",<-- 한달에 41410원이야 ?
"last_MM_INST_AMNT": "41570"<-- 마지막달은 41570원 ...
}, {
"svc_CNTR_NO": "479378**",
"unts_SVC_CD": "EQC**N",
"intm_MDL_ID": "7413",
"tlph_NO": "01022**03**",
"intm_MDL_NM": "AIP5S-32GD", <-- 그래 나 아이폰 골드 가진 남자야
"unts_SVC_NM": "단말기할부금",
"intm_SRL_NO": "C39LJ3U5**",
"sls_NO": "P6139",
"grnt_INSR_MNGM_NO": "201310289835**",
"bill_BLNC": "646000",<-- 64만원 남았냐. 요새 아이폰 5만원 이라며 ....
"rmnd_INST_CNT": "19",
그래 나 단말기 할부 2개다 어쩔래. 할부금 정보도 나오는구나
이제 다른 파일을 열어 볼까 ?
엥. 이건 뭐지 ??
"dst_S_SVC_CNTR_INFO": [{
"sls_CMPN_CD": "KTF",
"prdc_CD": "LTERADUT2",
"svc_NO": "01022**03**",
"svc_CNTR_NO": "479378*******",<-- 그냥 고객번호인듯
"open_SVC_CNTR_NO": "47937*******",
"sbsccust_NO": "10243*******",
"real_USE_CUST_NM": "방**", <- 그래 이름은 애교
"blpym_CUST_NM": "방**",
"bill_ACNT_IND_CD": "R",
"bill_ACNT_NO": "762**986",
"cntr_STAT_CD": "A",
"cntr_STAT_CHNG_CD": "NAC",
"svc_CNTR_GRAD_CD": "2",
"rqssht_PPRFRM_CD": "CB",
"unpd_IND_CD": "N",
"svc_IND_CD": "03",
"cntr_USE_CD": "R",
"wrls_RESAL_YN": "N",
"duedat_DATE_IND_CD": "21",<-- 사용기간 21개월 ??
"blpym_MTHD_IDNT_NO": "10023484*******",
"bill_CUST_NO": "10243***",
"blpym_CUST_IDNT_NO": "82****12*****",<-- 안 빠지는 민증번호 (아 원 데이터는 민증번호 전부 노출되어있음 )
"blpym_MTHD_CD": "D",
"bill_APLY_MM": "201307",
"bank_CD": "0200000",<-- 자동이체되는 은행 코드인가보지 ?
"bank_DEAL_APLY_IND_CD": "5",
"atmt_TRNSF_APLY_IND_CD": "Y",
"crdt_CARD_KIND_CD": "BC", <- 내 카드사 정보.
"crdt_CARD_EXPR_DATE": "2013****", <- 야 내 카드 유효기간을 너희가 왜 가지고 있냐. 이거 2013년도에 만료된 카드거든 !!
"card_ISSU_CD": "CC61",
"card_BUYIN_CD": "080",
"kt_CLCR_ATHN_IND_CD": "",
"kt_CUST_CNTR_NO": "",
"rqssht_NM": "방**",
"bill_ATCH_EXCL_YN": "",
"blpym_MTHD_IDNT_NO_HIDE_YN": "",
"show_PHNSAV_BANK_CD": "",
"item_PRNT_YN": "",
"cybr_BILL_PWD_IND_CD": "",
"adrs_1_NM": "경기 남양주시 ***동 **-**번지", <- 그래 우리집 주소는 잊지 않았구나. 근데 너희 내부적으로 아직도 도로명 주소 안쓰는거야 ??
"adrs_2_NM": "",
"eml_CNTPLC_SRL_NO": "1030950***",
"rqssht_TLPH_NO_HIDE_YN": "Y",
"secur_EML_YN": "N",
"evnt_RCV_AGRE_YN": "N",
"cms_DEAL_IND_CD": "Y",
"smrt_RQSSHT_YN": "",
"adrs_TYPE_CD": "P",
"prdc_NM": "광대역 안심무한 67", <-- 나도 알아 이번에 바꾼거거든
"eml_ADRS_NM": "b****@gmail.com", <- 내 이메일 정도는 어디든 공개 된거지뭐
"prev_BLPYM_MTHD_CD": "W",
"intm_MDL_ID": "7472",
"intm_MDL_NM": "AIP5S-A32GD",<- 내 폰 모델. 굿.
"adrs_ZIP_NO": "47280*",<- 우편번호... 하
"othcmp_IND_CD": "KTF",
"row_ID": null,
"real_USE_CUST_NO": "102430**",
"afss_TRF": "67000",
"intm_SRL_NO": "C39LKAX****",-> 엥 이거 내 아이폰 일련번호 아니냐 ??
"mngm_AGNC_ID": "AA16***",
"cntr_TYPE_CD": "01",
"fee_IMPS_YN": null,
"lgl_AGNT_CUST_NO": "",
"cntr_STAT_CHNG_RSN_CD": "CA",
"efct_SLS_NO": "P6139",
"cntpnt_SHOP_ID": "10000272**,
"mngm_SUBAGN_ID": null,
"use_CLS_CD": "",
"use_MNT_CD": "",
"mnp_IND_CD": "1",
"mnp_SBSC_MNGM_NO": "160059**0",
"chng_PREV_CMNC_CMPN_CD": "SKT",<- 내가 SKT에서 이동해 온 모양이구나.. 기억도 안는다 이것들이
"open_DT": "2009120311***", <- 아 2009년도야 ?? SKT에서 넘어온게 ?
"svc_CNTR_SBSC_DT": "200912031***",
"adrs_CNTPLC_SRL_NO": "140486**",
"mnp_TRMN_MNGM_NO": "",
"uicc_ID": "898230011****883",<-UICC ?? UICC(Universal Integrated Circuit Card) 뭔가 굉장히 중요한 정보 같은데 ???
"last_STAT_CHNG_DT": "2009120***",
"real_USE_INHB_RGST_NO": "82****12*****",<-- 민증번호는 반복 출력이구나
"prsl_FOR_SCRT_NO": "",
"intm_EFCT_STRT_DT": "2013111***240",
"wlfr_DSCN_YN": "N",
"nfl_CHNG_DT": "20091***1400",
"prdc_NM_ENG": "",
"prev_BLPYM_MTHD_IDNT_NO": "basa***", <-요건 아이디
"prev_DUEDAT_DATE_IND_CD": "99",
"prev_BLPYM_CUST_NM": "방**",
"prev_BLPYM_CUST_IDNT_NO": "82****12*****",
"tax_EXMP_YN": "",
"blnc_TRTM_YN": "Y",
"stop_MNTCNT_AMT_APLY_TYPE_CD": "",
"prev_KT_CUST_CNTR_NO": "13629****",
"rgst_AGNC_ID": "SF1004",
"rqssht_PPRFRM_FNDT_YN": "",
"bilpmn_MTHD_CHNG_DATE": "20130628",
"indv_ENTR_PRSN_CUST_NO": "",
"engg_DSCN_YN": "N",
"long_DSCN_YN": "N",
"sgnlmp": null,
"no_RGST_FLD_YN": null,
"neo_SVC_CD": "",
"afss_TRF_SUM": "70200",
"ota_DSPT_PSBL_YN": "Y",
"bill_EXCL_YN": null,
"open_SVC_CNTR_YN": "Y",
"svc_CNTR_IND_CD": "",
"trmn_AGNC_ID": "",
"show_SIGNL_CD": "YLW",
"cust_INCL_TYPE": null,
"cust_INCL_LARG_CLS_NM": null,
"usim_RGST_TRTM_STAT_CD": "S",
"usim_RGST_PRGR_STAT_CD": "E",
"show_SIGNAL_CD": null,
"family_SIGNAL_CD": null,
"mvno_MNP_IND_CD": "",
"mvno_MNP_SBSC_MNGM_NO": "",
"mvno_MNP_TRMN_MNGM_NO": ""
물론 위의 데이터들은 누구나 자기 계정으로 들어가면 브라우저에 넘어오는 데이터이다.
저 데이터들을 가공하여 화면에 출력해주는건데.
문제는 해당 페이지에는 필요 없는 데이터들도 AJAX를 통해 모두 넘어온 후 보여준다는 점..
보통 서버에서 클라이언트로 보낼 때 필요한 데이터만 보내야 하는데.. 민증번호 등등 그냥 올 노출이다.
가장 기초적인 마스킹도 없네.
나 이번 기회에 확실히 탈탈 털렸어 ~ 얼마전 금융권 3사 털린건 그나마 경찰이 유통 되지 않았다고 위로라도 해줬는데..
이번에는 그냥 다 털려서 벌써 유통 된거야 !!
아. 어짜피 자기 정보만 보여지는거니깐 뭔 상관이냐고 태클 걸 수도 있는데,
요금 명세서 조회 부분의 숫자를 바꾸면 다른 사람의 데이터가 위의 형식으로 그대로 보여진데.
물론 지금은 KT에서 본인거만 조회 되도록 바꿨겠지. ( 테스트는 안해봤다.)
대충 어떤 정보가 넘어갔는지 알겠지 ??
* 위의 내용 전부가 유출된것인지는 확실하진 않습니다.
다만 제 브라우저로 보내주는 데이터들은 저런 내용이 포함 되어 있다는것이죠.
* ** 표시는 제가 한거예요. KT에서 보내주는 데이터에는 모두 노출 되어 있습니다.
** 추가 : 현재 KT 이용대금명세서 서비스 막아버렸네요. 막는다고 해결이 될까요 ?