해커들이 인도 최대 건강 보험사에서 도난당한 데이터를 텔레그램을 통해 공유하다

최근 로이터의 독점 보도에 따르면, 해커들이 인도 최대 보험사인 스타 건강(Star Health)에서 도난당한 데이터를 텔레그램의 채팅봇을 통해 공유했다고 합니다.

해당 데이터에는 의료 보고서가 포함되어 있었으며, 이를 플랫폼을 통해 판매하였습니다. 악의적인 행위자들은 또한 채팅봇을 통해 샘플을 제공하였고, 이를 통해 누구든지 정보를 요청하여 확인할 수 있었습니다.

스타 헬스 및 연합 보험사는 로이터 통신에 민감한 정보가 침해되지 않았으며 고객의 데이터가 안전하게 보호되고 있음을 장담하였습니다. 그러나, 이들은 인도 당국에 무단 접근 사실을 보고하였습니다—. 이런 가운데 해당 뉴스 통신사는 챗봇을 통해 세금 상세 정보, 이름, 전화번호, 검사 결과, 주소, 신분증 사본, 그리고 진단 내용이 포함된 문서들을 다운로드 받을 수 있었습니다.

연구 과정에서 로이터는 올해 7월의 최근 결과를 포함해 1,500개의 파일을 다운로드 받을 수 있었습니다. “이 봇이 내려가면 몇 시간 안에 다른 봇이 사용 가능해질 것이니 주의하라”고 플랫폼을 통한 환영 메시지에서 봇이 적었습니다.

한 챗봇은 PDF 문서를 제공하고, 다른 챗봇은 3120만 개의 데이터셋 중 20개까지의 민감한 정보를 포함한 샘플을 몇 번의 클릭만으로 제공합니다. 로이터가 회수한 문서 중 하나에는 보험 가입자인 ‘Sandeep TS’의 1세 딸의 치료에 대한 세부 사항이 포함되어 있었고, 이 정보는 TS에 의해 확인되었습니다. 당사자는 의료 보험 회사로부터 이런 유출에 대해 통보받지 못했습니다.

해당 챗봇들은 보고되어 24시간 내에 내려졌지만, 새로운 챗봇들이 다시 나타나고 있습니다.

“텔레그램에서 개인 정보의 공유는 명백히 금지되어 있으며, 발견되면 즉시 제거됩니다. 운영자들은 능동적인 모니터링, AI 도구, 그리고 사용자의 신고를 결합하여 매일 수백만 개의 해로운 콘텐츠를 제거합니다.”라고 텔레그램의 대변인인 레미 본(Remi Vaughn)이 말했습니다.

이 이야기는 텔레그램의 CEO 파벨 두로프가 프랑스에서 체포된 지 몇 주 후에 공유되었습니다. 두로프는 플랫폼을 통한 범죄를 허용하는 등 충분한 관리와 안전 조치를 제공하지 않아 체포되었습니다.