* 리디북스 공식
* 출처 : 서울경제
https://n.news.naver.com/mnews/article/011/0004172470
https://v.daum.net/v/20230329083313717
국내 전자책 시장 점유율 1위인 ‘리디’ 회원들의 개인정보가 유출됐다.
29일 업계에 따르면 전날 리디 웹·엡에서 오후 5시 38분경부터 오후 6시 19분경까지 오류가 발생해 사용자들의 아이디·이메일·결제 내역 등이 유출됐다. 로그인한 사용자들에게는 다른 임의의 계정이 뜨는 방식으로 노출됐다. 리디 측은 전날 밤 사과문을 올려 “원인은 CDN 서버 캐시 설정 오류”라며 “오후 6시 19분 오류를 해결했고 오후 7시 52분에 개인정보보호위원회에 신고했다”고 밝혔다. [후략]
혹시나 사이트 설계 이렇게 하신 개발자분들 참고하시길 바라며...
이런류의 사이트들이 구식URL설계+CDN 콤보로 터집니다.
https://ridibooks.com/account/myridi
https://www.clien.net/service/mypage/settingCLIEN
사용자 정보를 반드시 사용자 ID를 포함하게 해서 CDN 및 browser 캐시 막으시면 좋습니다.
https://ridibooks.com/accounts/[여기에 account id를 넣으세요](/myridi)
리디북스 보고있나?
URI의도에 따라, path에 id를 넣으면 자연스럽게 해결될텐데..
OpenAI의 경우에는 redis-py 라이브러리에서 async 함수로 redis cluster(오픈소스버젼)을 호출했을 때 발생하는 경우입니다. Async가 아니었어도 발생 확률이 줄었을 것이고, Redis가 클러스터가 아니었어도 발생하지 않았을 겁니다. 클라이언트에서 오는 호출을 멀리플렉싱 한다는 엔터프라이즈 버젼이었어도 발생 확률이 매우 낮아지게 됩니다. redis-py는 Redis Git에 버그 올려서 해결을 했다고 openAI가 공지를 했죠.
https://help.ridibooks.com/hc/ko/articles/15288543657619--%EC%82%AC%EA%B3%BC%EB%AC%B8-%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4-%EB%85%B8%EC%B6%9C-%EA%B4%80%EB%A0%A8-2%EC%B0%A8-%EC%82%AC%EA%B3%BC%EB%AC%B8
개인적으로 3단계 암호 적용하네요