블로그코리아가 한동안 기능하지 않던 기간이 지나고 오마이뉴스에 인수되면서 서버에 무슨 일이 있었는지 내 정보가 제대로 저장이 안된 모양이다. 로그인도 안되고, 비밀번호 찾기로 해도 내 이메일아이디가 없다고 한다. 그런데 블로그코리아에서 검색을 하면 내 블로그는 그대로 남아있다.
그런 실망감으로 블로그코리아를 하지않다가 얼마 전 태터툴즈로 오면서 새로 가입을 했다.(새로운 닉네임으로)

야밤에 심심해서 새로 가입한 이메일로 비밀번호 찾기를 했다.
잠시 후 이메일로 비밀번호가 왔다.

그런데…

내 비밀번호가 그대로 담겨있는 것이 아닌가?

내 예상은 이랬다.

  1. 비밀번호 찾기를 하면 DB의 비밀번호가 새로 생성된 임의의 문자로 바뀌고
  2. 사용자에게는 비밀번호를 그 임의의 문자를 전달한다.
  3. 사용자는 임의의 문자로 로그인한 후
  4. 자신의 비밀번호로 변경한다.

그런데 뜻밖에 내 비밀번호가 고스란히 보이는 것이 아닌가? 물론 DB에 저장되는 것은 암호화되어 저장하겠지만, 문자열을 그대로 가지고 오는 것은 문제이다.
악용하고자 하면 충분히 악용할 수 있는 부분이다.
빨리 수정되었으면 한다.

수정)제목에 오해가 있을 것 같아 수정했습니다. 암호화되지 않는 것이 아니라 암호화된 문자열을 평문으로 변환해서 보여준다는 데 문제가 있다는 의미입니다.