마크 저커버그 페이스북 최고경영자(CEO)의 페이스북 계정이 버그에 노출되는 일이 발생했다. 버그를 발견한 보안전문가의 말을 페이스북측이 무시했기 때문이다.
18일(현지시간) 씨넷 등 외신은 팔레스타인 출신인 칼릴 슈레아테가 이 같은 버그를 자신의 블로그에 알리고 저커버그의 페이스북 담벼락을 직접 수정해 버그의 위험성에 대해 경고했다고 보도했다.
팔레스타인 보안 전문가가 페이스북의 담벼락에 사용자 허락없이도 글을 올릴 수 있는 버그를 발견했으나 페이스북측이 이를 무시하자 저커버그 페이스북 CEO의 담벼락에 직접 글을 올리며 이에 대해 경고했다.
페이스북 담벼락은 사용자가 허락한 친구들끼리 소식을 주고 받을 수 있는 기능을 가졌다. 슈레아테의 블로그에 따르면 새로 발견된 버그는 친구인지 여부에 상관없이 남의 담벼락에 글을 올릴 수 있게 하는 것이다.
그는 처음에는 페이스북의 화이트햇 보안 서비스에 이를 제보했다. 페이스북은 자사 서비스에 심각한 영향을 끼칠 수 있는 버그에 대해 최소 500달러 이상의 현상금을 지불하고 있다.
그러나 페이스북측은 이에 대해 처음에는 이것은 버그가 아니다라고 통보했다. 이에 슈레아테는 저커버그 CEO의 페이스북의 담벼락에 직접 글을 남기기로 결심했다.
그는 저커버그의 페이스북 담벼락에 이틀 전 친구로 등록되지 않은 사용자가 페이스북의 타임라인에 허가 없이도 글을 올릴 수 있게 할 수 있는 심각한 취약점을 발견했다며 이 글을 읽어주면 좋겠다. 페이스북의 관리팀과 만나고 싶다는 글을 게재했다.
자사 CEO의 페북이 버그에 노출된 후 몇 분 뒤 슈레아테는 페이스북 관리팀으로부터 해당 내용에 대해 자세히 알고 싶다는 연락을 받았다. 그 뒤 그의 페이스북 계정은 일시 정지됐다. 페이스북 보안 엔지니어는 슈레아테에게 예방차원에서 그의 계정을 정지시켰다고 설명했다.
조슈아라고 자신을 밝힌 페이스북 엔지니어는 우리가 당신의 활동을 발견했을 때 우리는 무슨 일이 일어난 지 몰랐다며 불행하게도 당신의 보고에 대해 페이스북 화이트햇 시스템은 (관련 내용에 대한) 충분한 기술적 정보가 없기 때문에 어떠한 조치를 취할 수 없었다고 말했다.
관련기사
- 페이스북 결제서비스 첫 선...페이팔과 경쟁?2013.08.19
- 페이스북, 플래시업계에 "최악품질 원한다"2013.08.19
- 페이스북, 숨겨왔던 뉴스피드 알고리즘 공개2013.08.19
- 페이스북 버그...600만 회원 정보 유출2013.08.19
조슈아 엔지니어는 또한 슈레아테에게 여전히 현상금을 지급할 수 없다고 통보했다. 페이스북 서비스에 대한 규정을 위반했기 때문이다.
페이스북 보안 엔지니어팀은 해당 버그는 수정이 완료됐으며 슈레아테가 더 상세한 내용을 담은 보고서를 제출해줄 것을 요청했다. 이 엔지니어는 또한 실제 사용자들에게 영향을 줄 수 있는 버그를 직접 사용하는 것은 화이트 해커의 행동으로 허용되지 않는다고 못박았다.