Vice News , CNET , The Verge , Neowin 등과 같은 주요 웹사이트의 독자는 PowerLinks 광고 (PowerLinks advertising) 플랫폼(platform use) 에서 실행되는 광고 가 만료된 SSL 인증서를 사용 하기 때문에 2015년부터 보안 위험에 노출 되었습니다. 다음은 현재 진행 중인 일, PowerLinks(PowerLinks) 광고 가 포함된 출판물을 읽을 때 노출되는 내용 및 안전을 유지하기 위해 할 수 있는 일입니다.
PowerLinks를 통해 게재된 광고에는 2015년 10월(October 2015) 에 만료된 SSL 인증서가 있습니다.(SSL)
내 개인용 컴퓨터에서 여러 웹사이트를 읽는 동안 내 보안 솔루션(security solution) 이 내 브라우저가 신뢰할 수 없는 인증서로 암호화된 채널을 통해 통신을 시도한다고 불평하는 것을 발견했습니다. 내 바이러스 백신은 암호화된 연결이 설정된 도메인의 신뢰성을 보장할 수 없으며 이는 나에게 보안 위험(security risk) 을 초래했습니다. 처음에는 이 경고를 무시하고 계속 읽었습니다. 하지만 여러 대형 사이트에서 본 후에 관심을 갖고 자세히 알아보기 시작했습니다.
이 경고가 대규모 온라인 출판물에 표시되고 항상 pw.powerlinks.com에서 제공하는 광고로 인해 발생한다는 사실에 놀랐습니다. 아래에서 볼 수 있듯이 모두 2015년 10월(October 2015) 에 만료된 SSL 인증서(SSL certificate) 를 가지고 있습니다.
이것이 단순한 거짓 경보가 아니라 사실인지 확인하기 위해 다른 최고급 보안 제품(security product) 을 사용해 보았지만 결과는 같았습니다. 나는 더 많은 웹사이트를 탐색했고 동일한 문제가 출판계(publishing world) 의 몇몇 유명인에 대해 반복되고 있음을 알아차렸습니다 .
PowerLinks는(PowerLinks offer) 게시자 에게 무엇 을 제공합니까?
공식 웹사이트에 따르면 PowerLinks 는 포괄적인 광고 솔루션 및 서비스 포트폴리오를 보유하고 있습니다. 그들은 클라이언트 포트폴리오의 사이트용 Ad Server , Ad Exchange 플랫폼(Ad Exchange platform) , 기본 광고(텍스트 내, 동영상 내, 이미지 내, 피드 내 및 디스플레이 내 광고) 등을 제공합니다.
이것이 왜 문제입니까? 웹사이트에서 SSL(SSL) 인증서 가 만료된 광고를 표시할 때 노출되는 문제
좋은 보안 솔루션(security solution) 이 설치되어 있지 않다면 이 문제를 눈치채지 못할 수도 있습니다. 그러나 실시간으로 HTTP 트래픽 을 검사하는 우수한 바이러스 백신을 사용하는 경우 (HTTP traffic)PowerLinks 에서 제공하는 광고 서비스를 사용하는 여러 대형 미디어 출판물 의 보안 프롬프트(security prompt) 에 짜증이 날 것 입니다.
성가신 요소(annoyance factor) 는 제쳐두고 우리는 Catalin Patrascu ( 루마니아 국가 컴퓨터 보안 사고 대응 팀 의 (National Computer Security Incident Response Team)정보 보안 및 모니터링 부서장(Information Security and Monitoring Department) )에게 이러한 광고와 관련된 보안 위험에 대해 물었고 그는 다음과 같이 말했습니다.
"이론적으로는 SSL 인증서가 만료되어도 검증이 가능합니다. 이 오류에 익숙해져 오류가 발생할 때마다 SSL 인증서를 확인하지 않는 사용자의 경우, 악성코드로 리디렉션될 위험이 있습니다. 페이지를 가로채고 메시지 가로채기 공격의 대상이 됩니다."("Theoretically, the verification of SSL certificates can be done even though they are expired. For the users that get used to this error and don't check the SSL certificate each time they get the error, there is the risk of getting redirected to malicious pages and becoming the target of man-in-the-middle attacks") .
고려해야 할 또 다른 중요한 사항은 이러한 광고가 사용자 데이터와 사용자 행동도 추적한다는 것입니다. 이 데이터는 안전하지 않은 채널(insecure channel) 을 통해 전송 되어 원치 않는 당사자의 가로채기에 취약합니다.
이 문제의 영향을 받는 웹 사이트는 Verge , Vice News , CNET 등 입니다.
우리는 이 문제의 영향을 받는 웹사이트의 정확한 목록을 모릅니다. 모든 PowerLink(PowerLinks) 고객이 위험에 처해 있다고 가정합니다 . 지금까지 The Verge(Verge) , Vice News , CNET , Neowin(Neowin and others) 등과 같은 대형 미디어 출판물에서 이 문제를 확인 했습니다 . 이 웹사이트에는 매달 수천만 명의 독자가 있으며 2015년 10월 부터 (October 2015)PowerLinks 광고를 실행한 날마다 잠재고객의 보안이 위험에 처해 있습니다.
이 문제는 PowerLink 측의 명백한 과실로 인해 발생합니다.
우리가 여기서 다루고 있는 것은 명백한 과실입니다. 이 SSL 인증서는 며칠 또는 한 달 동안 만료되지 않았습니다. 2015년 이후 만료되었으며 PowerLinks는 온라인 간행물과 해당 간행물의 독자 모두에게 안전한 광고 솔루션을 제공하는 역할을 하지 않습니다. 그들의 기술 팀은 광고 플랫폼(advertising platform) 이 수년 동안 만료된 SSL 인증서를 사용 하고 수백만 명의 독자를 위험에 빠뜨리면서 이 문제를 해결하는 데 아무 조치도 취하지 않는다는 사실을 알아차리지 못했습니다. 맬웨어(Did malware) 제작자가 이 문제를 악용했습니까? 그것은 좋은 질문이며 PowerLinks가 답을 줄 수 있을지 확신할 수 없습니다. 결국 유통기한 등 기본적인 것조차 챙기지 않았다.
어떤 보안(Which security) 제품이 이 문제를 발견하는 데 도움이 되었습니까?
이 문제를 처음 발견한 것은 앞서 언급한 일부 웹 사이트를 탐색하고 ESET Smart Security 를 바이러스 백신으로 사용할 때였습니다.
이 문제는 아래에서 볼 수 있듯이 Kaspersky Total Security 에서도 확인되었습니다.(Kaspersky Total Security)
이러한 제품이 PowerLinks(PowerLinks) 광고 플랫폼 의 보안 취약점으로부터 우리를 보호하고 정보를 제공하고 현재 상황을 밝히는 데 도움이 된 점을 기쁘게 생각합니다. 항상 타사 바이러스 백신 제품(antivirus product) 을 설치하고 보안되지 않은 상태에서 웹 검색을 중지해야 한다는 추가 증거입니다. 보호되지 않은 웹 브라우징과 관련된 위험에 대해 더 알고 싶으시다면 저희가 진행한 이 실험을 읽어보십시오: 무료로 웹을 브라우징하는 동안 Windows PC 를 감염시키는 방법.(Windows PC)
이 보안 문제(security issue) 의 영향을 받는 독자와 출판물을 돕기 위해 우리는 무엇을 했 습니까?
우선(First) , 이 문제를 모두에게 알리기 위해 이 글을 작성했습니다. 또한 PowerLinks 에 공식 논평을 요청했습니다. 그러나 공식 연락처 이메일은 작동하지 않으며 아래에서 볼 수 있는 배송 상태 알림 실패 만 받았습니다.(Status Notification Failure)
이 기사는 영향을 받는 것으로 확인된 모든 미디어 출판물과 PowerLinks 의 소셜 미디어 채널을 사용하는 PowerLinks 에 보냈습니다. (PowerLinks)그들이 우리의 메시지를 무시하지 않고 이 문제를 해결하기 위한 조치를 취하기를 바랍니다.
UPDATE (03/21/2017):PowerLinks 로 메시지가 전송되었으며 비즈니스 개발 부사장(VP Business Development) 인 Branden Smythe 로부터 다음과 같은 답변을 받았습니다 .
"PowerLinks에 문의하셨다는 통지를 받았습니다. 귀하가 게시한 문제를 곧 해결해 드리겠습니다."("I received notice that you reached out to PowerLinks. We will address the concerns you posted shortly.")
오늘 우리는 우리가 설명한 문제와 현재 잘 작동하는 문제를 발견한 웹사이트를 다시 확인했습니다. PowerLinks 는 모든 웹사이트에서 (PowerLinks)광고 전달(ad delivery) 을 보호하기 위해 필요한 단계를 수행한 것 같습니다 . 이는 훌륭합니다. 바라건대(Hopefully) , 그들은 이 문제에서 배우고 SSL 인증서 의 만료 날짜 와 같은 보안 기본 사항을 더 잘 다룰 것입니다.(expiration date)
안전하지 않은 PowerLinks(PowerLinks) 광고 로부터 자신을 보호하기 위해 무엇을 할 수 있습니까?
보안 솔루션 이 (security solution)PowerLinks 광고에서 사용하는 만료된 (PowerLinks)SSL 인증서 에 대해 불평하는 경우 차단 해야 합니다. 실시간 HTTP 트래픽(HTTP traffic) 을 검사하는 바이러스 백신이 없는 경우 안전하지 않은 광고를 차단하거나 차단할 수 있는 다른 방법을 찾는 비공개 브라우징 모드를 사용하여 이러한 웹사이트를 실행해야 합니다. 우리는 우리가 언급한 웹사이트에서 광고를 차단하는 것을 좋아하지 않습니다. 왜냐하면 광고는 이러한 간행물이 모든 사람에게 훌륭한 콘텐츠를 제공할 수 있도록 하는 것이기 때문입니다. 바라건대 이 문제가 곧 해결되어 우리 모두가 좋아하는 출판물을 광고를 차단하지 않고 안전하게 즐길 수 있고 작업으로 수익을 올릴 수 있습니다.
PowerLinks ads put millions of readers at risk, from major publications like The Verge, Vice News and more
Readers of major websites like Vice Nеws, CNET, The Verge, Neowin and more, have been exposеd to security riѕks sіnсe 2015 because the ads they run from the PowerLinks advertising platform use expired SSL certificates. Here's what is going on, what you are exposing yourself to when reading publications thаt include PowerLinks ads and what you can do to stay safe:
The ads served through PowerLinks have SSL certificates that expired in October 2015
While reading several websites on my personal computer, I have noticed that my security solution was complaining that my browser is trying to communicate over a channel that is encrypted with an untrusted certificate. My antivirus could not guarantee the authenticity of the domain to which the encrypted connection was established, and this posed a security risk for me. Initially, I ignored this warning and just kept reading. However, after seeing it on several big websites, I started paying attention and studied things in more detail.
I was surprised to find that this warning is shown on large online publications and it is always caused by ads served from pw.powerlinks.com. All of them have an SSL certificate that expired in October 2015, as you can see below.
To double check whether this was true and not just a false alarm, I tried another top-notch security product, and the results were the same. I navigated more websites and noticed that the same problem was repeating for some big names in the publishing world.
What does PowerLinks offer publishers?
According to their official website, PowerLinks has a comprehensive portfolio of advertising solutions and services. They offer an Ad Server for the sites in their portfolio of clients, an Ad Exchange platform, native ads (in-text, in-video, in-image, in-feed and in-display ads) and more.
Why is this an issue? The problems we're exposed to when websites display ads with expired SSL certificates
If you don't have a good security solution installed, you might never notice this issue. However, if you use a good antivirus which scans your HTTP traffic in real-time, then you will be annoyed by a security prompt on several large media publications that use advertising services provided by PowerLinks.
Leaving the annoyance factor aside, we asked Catalin Patrascu (head of the Information Security and Monitoring Department at the Romanian National Computer Security Incident Response Team) about the security risks involved with these ads, and he stated the following:
"Theoretically, the verification of SSL certificates can be done even though they are expired. For the users that get used to this error and don't check the SSL certificate each time they get the error, there is the risk of getting redirected to malicious pages and becoming the target of man-in-the-middle attacks".
Another important thing to consider is that these ads also track user data and user behavior. This data is sent through an insecure channel, leaving it vulnerable to interception by unwanted parties.
The websites that are affected by this issue include: The Verge, Vice News, CNET, and more
We don't know the exact list of websites that are impacted by this issue. We assume that all PowerLinks customers are at risk. So far, we have identified this problem on large media publications like The Verge, Vice News, CNET, Neowin and others. These websites have dozens of millions of readers each month, and the security of their audience has been put at risk every day they have run PowerLinks ads, since October 2015.
This problem is caused by plain negligence on PowerLink's part
What we are dealing here is plain negligence. These SSL certificates have not been expired for a couple of days or a month. They have been expired since 2015 and PowerLinks are not doing their job of offering secure advertising solutions to both online publications and readers of those publications. Their technical team did not notice that their advertising platform uses SSL certificates that have been expired for years and did nothing to solve this problem while putting millions of readers at risk. Did malware creators exploit this issue? That's a good question, and we're not sure whether PowerLinks can answer. In the end, they did not even take care of basics like expiration dates.
Which security products helped me discover this issue?
The first time I found this problem was when I was navigating some of the websites I mentioned earlier and used ESET Smart Security as my antivirus.
This issue was also confirmed by Kaspersky Total Security, as you can see below.
We're pleased that these products did their job in informing us and keeping us safe from the security vulnerabilities of the PowerLinks ads platform and helps us unravel what is going on. It's further proof that you should always install a third-party antivirus product and stop browsing the web, unsecured. If you are curious to learn more about the risks involved with browsing the web unprotected, read this experiment that we have run: How to infect your Windows PC while browsing the web for free stuff.
What did we do to help readers and publications that are affected by this security issue?
First of all, we wrote this article to inform everyone on this matter. We also asked PowerLinks for an official comment. However, their official contact e-mail doesn't work, and all we received is a Delivery Status Notification Failure, which you can see below.
We sent this article to all the media publications that we've found that are affected, as well as to PowerLinks, using their social media channels. We hope that they won't ignore our message and will take measures to fix this problem.
UPDATE (03/21/2017): We finally managed to get our message sent to PowerLinks, and we received the following answer from Branden Smythe, VP Business Development:
"I received notice that you reached out to PowerLinks. We will address the concerns you posted shortly."
Today, we checked again the websites where we have found the issues that we described and things are now working well. It seems that PowerLinks has performed the necessary steps to secure their ad delivery on all websites, which is great. Hopefully, they will learn from this problem and take better care of security basics like the expiration date of SSL certificates.
What can you do to protect yourself from insecure PowerLinks ads?
If your security solution is complaining about the expired SSL certificates used by PowerLinks ads, you should block them. If you don't have an antivirus which scans your real-time HTTP traffic, then you should run these websites using private browsing modes that also block the insecure ads or find some other way of blocking them. We are not fans of blocking ads on the websites that we have mentioned because advertising is what keeps these publications able to provide everyone with great content. Hopefully, this problem will be solved soon, and we can all enjoy our favorite publications, safely, without blocking their advertising and allowing them to earn revenue from their work.