오랜 비평가이자 스캠튜버(주로 반쪽짜리 정보에 근거해 어스 2가 사기라고 주장하는 유튜버를 가리키는 어스 2 커뮤니티 용어 )가 어스 2 계정과 관련된 보안 침해 혐의에 대해 심각하고 중대한 주장을 하며 다시 돌아왔습니다.
지난 며칠 동안 이 사기 유튜버는 일부 어스 2 계정의 노출된 이메일 아이디 스크린샷이 포함된 동영상을 게시했습니다. 이 동영상에서는 이것이 중대한 데이터 유출이며 여러 어스 2 계정이 영향을 받을 수 있고 어스 2가 이 사실을 알고 있으면서도 영향을 받은 계정에는 알리지 않았다고 주장했습니다. 또한 이 동영상은 Earth 2에 자사 제품을 제공하기 위해 파트너십을 맺은 Mapbox를 구글 어스의 모조품이라고 비난했습니다.
어스 2의 CEO인 셰인 아이작은 이러한 주장을 강력하게 반박하며, 이는 며칠 내로 3D 월드 영상을 공개할 예정인 어스 2를 악의적으로 비방하고 사실을 왜곡하려는 스캠튜버의 시도라고 말했습니다. 셰인은 이 영상에 대한 동기는 이 특정 스캠튜버가 지구 2에 대한 혐오 영상을 게시함으로써 관련성을 유지하려는 욕구에서 비롯된 것이라고 덧붙였습니다.
Shane은 자신이 아는 한 데이터 유출은 없었으며, 동영상에 표시된 이메일 ID는 몇 달 전에 지구 2 사용자를 대상으로 한 피싱 공격의 영향을 받았을 수 있다고 밝혔습니다. 셰인은 이 스캠 유튜버는 명백한 ‘거짓말’이며, 이 사실을 바로 알았음에도 불구하고 어스 2는 데이터 유출 주장을 조사했지만 신빙성이 없다고 말했습니다. 그는 “Earth 2는 다른 프로젝트와 비교할 때 소규모 개발팀으로 지구의 1:1 스케일 지리적 복제품을 고성능으로 스트리밍하기 위해 처음부터 자체 기술을 구축한 것에 대해 미움을 받고 있습니다. 지금은 정말 밑바닥부터 긁어모으고 있습니다. 적어도 예전에는 좀 우스꽝스러웠습니다.”
셰인은 어스 2 계정은 안전하며 “은행 보안을 위해 일하는 보안/침투 해커가 있다”고 확신했습니다 노출된 이메일 ID는 몇 달 전에 등장한 가짜 Earth 2 앱의 결과로 의심하지 않는 여러 사용자의 데이터를 훔친 것으로 추정됩니다.
Shane은 Earth 2 사용자들의 우려를 해소하기 위해 다음과 같은 메시지를 Earth 2 디스코드에 게시했습니다
“동영상을 올린 사람을 포함해 많은 비평가들이 틀렸다는 것을 증명할 무언가를 공유하려고 하는 프로젝트의 신용을 떨어뜨리거나 탈선시키려고 할 때 해킹당하는 플랫폼에 동영상을 공개하는 것보다 더 좋은 방법이 있을까요? 매우 편리하죠.
그리고 그가 녹화하기 전에 ‘해킹된 비밀번호’로 로그인할 수 없었던 것은 “어스 2가 고쳤기 때문”이니 얼마나 편리했을까요? 이 계정 중 하나에 ‘분명히’ 로그인했을 때 스크린샷을 찍거나 화면을 녹화하지 않았다는 말씀이신가요? 정말 놀랍네요.
그가 공개적으로 언급한 조건에 따라 저희는 중대한 보안 데이터 유출을 수정하지 않았습니다.
사람들이 그렇게 관심을 끌기 위해 필사적인지는 몰랐지만, 공개적인 영역에서 관련성이 있는 주된 이유가 그 프로젝트를 싫어하기 때문이라면 계속 싫어할 방법을 찾아야 하거나 관련성이 줄어들기 시작할 때 그런 일이 발생하는 것 같습니다. 그 프로젝트가 내가 틀렸다는 것을 증명하기 시작하면 관련성이 사라집니다. 그러니 당당하게 인정하는 대신 두 배로 거짓말을 늘어놓는 콘텐츠를 만들어서 조금이라도 관심을 끌기 위해 비명을 지르는 것은 어떨까요? 이 동영상은 분명 단순한 비판을 통과했으니까요.
하지만 이제 이 사람은 잘못된 정보를 절대적인 사실인 것처럼 공개적으로 말하고 있습니다. 의견을 갖는 것과 틀림없는 사실이라고 말하는 것은 별개의 문제입니다. 2021년 초에 어스 2를 표적으로 삼은 수많은 피싱 사이트 중 하나 또는 일부 세부 정보가 유출된 것으로 보이는 ‘소문’ 해킹을 통해 아주 오래된 데이터 목록을 발견했을 가능성이 있지만, 이 역시 2021년 초의 일이고 당시에는 유출된 세부 정보를 찾을 수 없었습니다. 당시에는 주로 GraphQL을 사용했지만, 바로 그 이유, 즉 GraphQL의 잠재적인 보안 문제 때문에 1년 전에 핵심 스택의 일부로 사용하지 않게 되었습니다.
그리고 당시 누군가 GraphQL을 해킹하는 데 성공했다고 하더라도, 그가 언급한 해시된 비밀번호는 사실 (초보자용) 더미 데이터였기 때문에 계정에 로그인할 수 없었고, 어스 2가 기적적으로 ‘보안 취약점을 수정’했다고 주장한 것일 뿐, 기록할 수 없었습니다.
저는 그가 지구 2를 탈선시킬 방법을 찾기 위해 끊임없이 그와 함께 일해 온 그룹이 아마도 아주 오래된 데이터 유출을 발견했을 것이라고 확신하며(이것이 사실이라면), 이것이 사실이라면 놀랍게도 그는 다른 사람의 작업에 대해 자랑할 권리를 주장하고 있으며 불과 한 달 전에 자신이 책임이 있었다고 반박할 수 없게 주장하고 있는 것이죠. 어느 쪽이든, 그는 회사 웹사이트를 해킹하고 난독화되기는 했지만 데이터를 유튜브에 공개적으로 공유하려는 시도에 관여했다고 공개적으로 주장하고 있습니다.
계정이 유출될까 봐 걱정하는 분들을 위해 말씀드리자면, 피싱 공격의 희생양이 되지 않는 한 그럴 가능성은 극히 낮지만, 그렇다 하더라도 이미 오래 전에 2FA를 설정했고, 1년 넘게 KYC(사진 계정 인증)를 시행하고 있기 때문에 계정이 유출되더라도 신원 확인을 통해 누가 지급된 것인지 알 수 있을 것입니다.
참고로, 2021년 초에 이러한 소문이 퍼지고 있을 때 저는 의도적으로 더미 해시된 비밀번호 데이터를 포함한 매력적인 Earth 2 계정의 세부 정보를 유출한 적이 있습니다. 누군가가 해당 계정을 수백 번 해킹하려고 시도했지만(시도할 때마다 이메일을 받습니다) 아직까지 실패했으며, 계정이 침해된 적은 없습니다.
따라서 2021년 2월에 발표했던 것처럼 피싱 사기의 피해를 입었다고 생각되면 항상 비밀번호를 변경하고, 오래 전에 비밀번호를 변경했더라도 2FA 및 KYC 절차로 인해 자금이 불법적으로 인출된 계정에 대한 보고는 아직 없습니다 – 이것이 바로 저희가 이러한 시스템을 도입한 정확한 이유입니다! 몇 주 전에 어스 2를 해킹했다고 주장하는 것이 더 재미있네요.
걱정되는 플레이어를 위해 이 메시지를 남기고 싶었습니다.”