테이스팀 해킹으로부터 유저들의 계정은 정말 안전한가? Are users really safe from Tasteem hacking?

Update: 계정복구와 관련하여 잘못된 내용 업데이트 했습니다. 다시 한번 지적해주신 @tabris님 감사합니다.

---

결론부터 말씀드리자면 가능성과 인센티브가 떨어지지만 100% 안전하다고 절대 말할 수 없으며 포스팅 권한 회수를 하는 것이 안전합니다.

tasteem.app 포스팅권한 위임 회수

https://app.steemconnect.com/revoke/@tasteem.app

액티브 키 입력이 필요합니다.

---

In short, I don't think so. Of course the chances are rare, but I still recommend revoking the posting authorization from @tasteem.app here until it becomes really safe again. You can do the revoke here: https://app.steemconnect.com/revoke/@tasteem.app

---

이미 소식을 접하셨겠지만 많은 한국 유저들이 사용하시는 테이스팀이 해킹된 상태입니다. 공지에 나온대로 @tasteem, @tasteem-kr, @tasteem-jp, @tasteem-th, @tasteem-vn 서비스 계정들이 탈취당해 스팀과 스달이 모두 송금되었으며 파워다운이 진행중입니다. 패스워드마저 변경되어 테이스팀 계정으로 공지조차 못쓰고 있는 상태라 관리자분들 계정으로 공지가 나간 상태입니다.

• 한글공지 @lekang님 해킹으로 인한 테이스팀 서비스 일시 중단 공지

• 영문공지 @travisung님 Tasteem service temporarily suspended due to stolen accounts issue (User accounts NOT affected)

현재 계정 복구가 진행중입니다.

두 공지 모두 유저들의 계정은 스팀커넥트에 의해 관리되고 있으니 안전하다고 말하고 있습니다.

미리 공지드립니다. 여러분의 개인 계정은 안전합니다.

테이스팀 서비스가 해킹된 것이 아니며 스팀 계정의 비밀번호가 탈취된 것입니다. 유저분들의 계정 연결은 스팀커넥트를 통해 관리되고 있으며 테이스팀에서는 접근할 수 없습니다. 혹시라도 자신의 계정 보안을 염려하시는 분들은 걱정하지 않으셔도 됩니다.

As mentioned, Tasteem user accounts are not affected at all. They only come to the platform through steemconnect and have nothing to do with this accident. Your accounts are very safe.

---

처음엔 저도 그냥 그런가보다 했는데 다시 살펴보니, 과연 정말 안전한지 안전의 기준이 무엇인지 모르겠지만 제 생각엔 테이스팀 관계자분들이 간과하고 계신게 있는 것 같습니다.

일단 안전하다는 주장은 유저의 포스팅 권한이 위임되는 계정은 @tasteem.app 계정이고 이 계정이 해킹되지 않았다는 믿음에서 출발하는 것 같습니다. 사실 이 계정은 스팀커넥트 연결을 위해 생성된 계정이 맞고 권한 위임 역할외에 딱히 하는 일 없는 (당시 기준 기본 스파인) 3스파 기본 계정입니다.

https://steemd.com/@tasteem.app

사실 해커가 이 계정의 키나 패스워드를 탈취했을지는 알 방법이 없으므로 안전하다고 속단하기 이릅니다.

즉 엄밀히 말하면 영어로 "Your accounts are very safe."이란 공지는 전 엄연히 잘못되었다고 봅니다. 만에 하나 생길 수 있는 문제를 대비해서라도 일시적으로라도 당연히 포스팅 권한 위임 회수를 권장해야 맞는 거 아닐까요?

tasteem.app 포스팅권한 위임 회수

https://app.steemconnect.com/revoke/@tasteem.app

이참에 잘 안쓰는 다른 앱들도 함께 살펴보려면

https://app.steemconnect.com/apps/authorized

물론 혹시나 tasteem.app마저 탈취되었을 때 유저들이 입을 수 있는 피해는 포스팅키로 할 수 있는 일에 국한됩니다. 즉 포스팅, 보팅과 더불어 포스팅키 권한의 custom_json으로 동작하는 넥스트콜로니 유저라면 쓸데없는 건물 업그레이드 하기, 스몬도 게임 마구잡이로 하기 등입니다.

물론 송금, 파워다운 등에 비해 인센티브가 떨어지는 것은 사실이지만 해커가 마음만 먹으면 마구잡이 포스팅이나 보팅을 할 수도 있는 겁니다. 요즘 같은 상황에선 SCT보팅도 무시못할 피해가 될 수 있는 것이죠.

정정사항

@tabris님의 정확한 지적으로 글 내용 일부를 수정합니다.

제가 이 문제를 더 위험하다고 생각했던 것은 @tasteem.app의 복구 계정(recovery account)이 해킹된 @tasteem 계정이라는 점 때문이었습니다.

그런데 복구를 위해서는 복구할 대상의 최근 마스터 패스워드를 알고 있어야 한다는 점입니다. recovery의 마스터가 아닌.

사실 저도 복구를 위해서는 복구 대상의 최근 마스터 패스워드를 필요한다는 사실을 알고 있었으나 아침에 비몽사몽간에 이를 recovery account의 것으로 잠시 착각하고 recovery account가 탈취당한상태이므로 그의 마스터패스워드를 가진 상태니 복구할 수 있다고 중대한 착각을 했습니다. 스팀잇 쓰면서 잘못된 내용이 없도록 매번 조심하고 조심하는데 역시 너무 마음이 급했었나 봅니다. 사실 조금만 생각해도 말이 안되지요. 그렇다면 steem을 통해 계정생성한 사람은 steem계정의 마스터패스워드로 다 복구신청이 가능하다는 이야기니까요. 혼란을 드려서 죄송합니다. 다시한번 빠르게 지적해주신 @tabris님께 감사드립니다.

이는 복구절차와 관련된 오류이며 tasteem.app이 해킹되면 스팀커넥트와는 별개로 유저의 포스팅 권한을 쓸 수 있다는 사실은 변함이 없습니다. 저는 정말 만에하나이지만 여전히 회수하는 게 좋다고 생각합니다. 저 역시 테이스팀의 추가해킹가능성을 낮게 보지만 이런건 습관이라 생각합니다. 계속 설마설마하다가 언젠가는 한번 일이 생길 수 있겠죠. 게다가 테이스팀을 다시 사용하게 되었을 때 어차피 많은 경우 SC2세션이 만료되어 SC2버그로 인해 액티브키를 다시 입력할 필요(제가 소개해드린 포스팅키사용 우회법을 쓰지 않거나 SC3가 빠른 적용이 되지 않는이상)가 생김은 변함이 없습니다. 즉 권한을 재위임하는 절차는 전혀 번거롭지 않으니 잠시 회수하는게 안전하다고 생각합니다. 감사합니다.

---

ps. 이래서 포스팅권한을 통한 댑운영 방식이 정말 위험해질 수가 있는 겁니다. 즉 기존 스팀커넥트2 방식이 사실 정말 안좋은 것입니다. 사실 테이스팀은 스팀커넥트 아니면 권한 위임을 받아야할 이유도 없는줄로만 알았는데 지난번에 보니 언젠가부터 위임받은 포스팅 권한을 쓰기는 쓰더군요. 추가 보팅을 받기 위해서 테이스팀글에 풀봇을 하는데 쓰더군요. 그렇게 하듯이 tasteem.app계정 탈취당하면 유저 계정으로 아무렇게나 보팅하고 글도 쓸 수 있는 겁니다.

과거 스팀커넥트 독점이던 시절에는 포스팅권한위임이 너무 당연시 되었는데 키체인으로 넘어가면서 스팀커넥트팀이 이문제를 인지하고 SC3에서 해결중입니다. Keychain의 강력한 경쟁자 Steemconnect 3 (SC3) beta release에서 소개해드린 것처럼 베타테스트 중입니다. SC3가 정착되면 예약 보팅, 포스팅 기능이 필요한 댑 외에는 포스팅권한 위임하는 방식은 사라져야할 것입니다.