인니 국영 ISP IndiHome, 불법 데이터 수집 의혹

인니 국영 ISP IndiHome, 불법 데이터 수집 의혹

Ethical Hacker Indonesia의 사이버 보안 연구원이 Telkom 소유의 인터넷 서비스 제공사업자 IndiHome이 700만 명의 사용자로부터 데이터를 훔쳤을 수도 있다고 폭로했음

  • 폭로자에 따르면 IndiHome은 웹 사이트 추적기를 사용하여 사용자의 검색 기록과 기기의 화면 해상도 정보를 얻었음
  • 해당 정보는 SSL과 같은 데이터 교환 보호기가 없는 사이트를 방문할 때 고객 정보를 보여주었으며 SSL이 있는 웹사이트의 주소는 ‘http’ 대신 ‘https’로 표시됨
  • 즉 사용자가 SSL에 의해 보호되지 않는 사이트를 방문할 때마다 IndiHome은 해당 페이지에서 사용자의 데이터를 수집할 수 있음
  • 이를 폭로한 연구원은 Google 웹사이트 추적기 URL를 확인해 두 개의 링크를 찾아냈는데 그 중 하나는 Telkom의 자회사인 Metranet이 소유 중인 디지털 콘텐츠 제작, 광고, 금융 서비스 및 전자 상거래에 중점을 두고 있는 내부 로그인 포털로 연결되었음
  • 나머지 하나는 추적에 사용된 통계와 코드를 표시하는 페이지로 이어졌는데 해당 웹사이트 추적기는 9월 13일 이후 매일 10억 건 이상의 조회수를 기록한 것으로 확인되었으며 현재 해당 2개 링크 모두 액세스가 불가능함
  • ’20년 9월 18일 금요일에 웹사이트 추적기가 제거되었다고 폭로자는 밝혔음
  • IndiHome은 트위터로 모회사인 Telkom Indonesia가 데이터 보호를 포함한 인도네시아 법률을 따랐으며 모니터링은 기술 구성을 포함한 서비스 품질 향상을 위한 시도였다고 밝혔으나 IndiHome이 행했던 웹사이트 추적은 인니 전자 상거래법을 위반하는 것임

[출처 : KrASIA]