지나가던 개발자가 입수한 오토플 피바람2

1. 가짜거나 DB조작이라 하는 거면 해당 업체에서 이때 DB로그 풀어서 해명 필요해보입니다.
DB로그 풀어서 해명못하고 이리저리 얘기만 돌려서 말하면 답나오는 것 같네요.

2. 아이디, 비밀번호, 사이트주소만 보관하는 게 아니라 그 아이디의 IP접속기록까지 보관되는 데다 어느 사이트 이용자인지까지 기록된 DB가 뚫린거라 작은 이슈 아님.
충분히 고발들어가서 수사들어가면 이용자들 불려감.
만약에 사이트 들어가서 프로그램 접속 아이디 쳤는 데 사이트에서 비밀번호가 틀리다는 메세지나오면 계정이 존재한다는 거니 더 문제될 확률 높음. 이러다 수사들어가고 이용자 계좌내역까서 덜미 잡히면 어쩌려는 건가 싶음.

3. 해당 업체 오토플도 기존 프로그램 카피해서 만든거.

4. 사건터지고 나서 저도 오토플 전달받아 디컴파일 해보니 현재는 API방식 로그인으로 변경해서 DB주소, 아이디, 비밀번호는 가렸지만 지금도 난독화도 안되어있고 보안작업 안되어있어서 사실 소스코드는 그냥 오픈해놓은 상태. 이미 유출된 상태에서 DB접속정보만 가리면 기존 이용자 피해는 어떻게 처리할 것인지 궁금함.

5. 사건 터졌을 때 당시 오토플 디컴파일해보니 1분만에 원본소스코드급으로 복원. 난독화도 안되어있어 DB주소, 아이디, 비밀번호 그냥 오픈. 즉, 오토플 운영한 시점부터 DB정보는 계속 유출가능한 상태였고 언제 어디서 누가 DB접속로그, 프로그램 접속한 IP로그, 아이디 따갔는 지 알 수 없음.
심지어 프로그램 아이디는 사이트 아이디랑 동일해야 사용가능하도록 코딩되어있음.(비번제외)
이러고 당당한 게 말이 되나 싶음.

6. 오토플 DB에 같이 있던 사이트 DB는 토마토라는 사이트의 장보이고 아직 운영 중. 도메인 생성일자는 7월21일. 즉, 사건 터지기 2달전에 만들어졌음.

7. 토마토 사이트 관련 운영진이랑 유저한테 연락돌려서 대화하는 텔레그램 사진들 돌아다님. 실제 계좌번호, 연락처, 이름까지 DB에 보관되어있고 은행앱에서 계좌쳐보니 실제계좌 동일하고 해당 연락처로 카톡 추가해보니 실제 번호 맞고 일반인임.
사이트도 운영중이고 고객정보도 일치하는 데 이게 진짜 가짜데이터라고 생각하는 지 의문.

저는 오토플 관련 사람들이랑 1도 관계없고 악감정없습니다.
다만 저도 오토플쓰던 고객이었었고 지나가던 개발자 입장에서 팩트만 적는거니 보는 분들이 판단해주세요.
적었다 싶이 저는 관계없는 사람이라 이정도만 적고 그만 얘기하겠습니다.
근데 첨부한 사진말고도 더 있어요.