Leaked credentials can yield severe problems if Internet users reuse their passwords in third-party services. In this circumstance, it is already prevalent that cybercriminals utilize leaked credentials to breach more critical information. To reduce the burdensome threats, several researches have centered around breached credentials, especially password reuse behaviors of users. However, there are still lack of large-scale analysis and diversity in credential sources. To address these limitations, we present a large-scale yet empirical analysis of the security risks in the breached victim websites and the security implications of their credentials using 361 million accounts breached from 22,379 websites. In our findings, we observe that 44% of the victim websites are still vulnerable to information leakage. As for the breached credentials, we figure out that 8.7 million national institute/corporate credentials are more likely to be targeted by cybercriminals. Additionally, we find that 86% of the users reuse the same passwords in multiple websites, which are noticeably higher than what the previous works measured due to the diversity of the victim websites in our dataset. We believe that our findings help researchers and practitioners obtain a deeper understanding of credential data breaches and remind Internet users of their security awareness.
인터넷 사용자의 자격 증명 재사용으로 인해 해당 정보가 유출되었을 시 큰 보안 문제를 야기할 수 있다. 실제로, 유출된 자격 증명을 이용하여 민감한 정보를 탈취하는 사이버 범죄가 급격하게 증가하고 있다. 사용자의 비밀번호 재사용 행동 양상이 연구되었으나, 작은 규모의 데이터 분석과 서비스의 제한적인 종류로 인하여 위협의 심각성을 파악하는 데에 한계점이 존재한다. 본 논문에서는 대규모 자격 증명 정보를 활용하여 피해를 입은 웹사이트의 보안 문제와 유출된 자격 증명이 미치는 보안 영향에 대한 분석을 진행하였다. 피해 웹사이트를 운영하는 시스템 중 44%가 정보 유출에 취약한 상태인 것으로 나타났다. 해당 웹사이트에서 유출된 정보는 약 9백만 개의 기관 및 기업의 자격 증명을 포함하고 있다. 또한, 86%의 사용자가 다수의 웹사이트에서 동일한 비밀번호를 사용하는 것을 보였다. 이 결과는 자격 증명 사용에 관한 보안 문제가 이전 연구를 통해 알려진 것보다 훨씬 심각하다는 것을 보여준다.