페이스북에 올린 사진을 다른 사람이 마음대로 지울 수 있는 취약점이 나왔다.
2일(현지시간) 씨넷은 인도 출신 아룰 쿠마르 보안 연구원이 이 같은 내용의 보안 취약점을 발견해 페이스북에 통지했고, 1만2천500달러(약 1천373만원)의 현상금을 지급받았다고 보도했다.
이 취약점은 인터넷 익스플로러, 크롬 등 대부분의 웹브라우저에서 적용되는 것은 물론 모바일 기기에서도 구현된다.
해당 취약점은 페이스북 지원 대시보드의 기능을 악용했다. 페이스북 사용자가 이 기능을 활용해 페이스북에 자신의 사진삭제요청을 보내면 담당자가 이를 확인한 뒤 다시 사용자에게 삭제할 수 있는 링크주소를 보낸다. 사용자가 이 주소를 클릭하면 페이스북 내에 해당 사진은 완전삭제된다.
이 과정에서 사진 삭제 요청 메시지를 송수신할 때 취약점이 존재한다. 관련 내용을 송수신하기 위해 'Photo_id', 'Owners Profile_id'라는 두 개의 수치가 사용된다. 이를 수정하면 해커는 실제 사용자가 알아차리지 못하게 사진을 삭제할 수 있게 되는 것이다.
예를 들어 원래 해커A가 B씨의 계정에서 특정 사진의 URL 주소를 알아낸 뒤 여기에 포함된 'Photo_id', 'Owners Profile_id'를 확인해 해커C의 계정으로 보내면 C에게 B의 사진에 대한 삭제링크가 전송되는 식이다.
관련기사
- 페이스북 연동 로그인, 月 평균 8억5천만건2013.09.03
- 저커버그 페북 버그에 노출, 이유가...2013.09.03
- 페이스북 결제서비스 첫 선...페이팔과 경쟁?2013.09.03
- 페이스북, 플래시업계에 "최악품질 원한다"2013.09.03
쿠마르는 (해당 취약점을 사용하면) 페이스북 페이지는 물론 공유되거나 태그된 사진들도 제약없이 삭제될 수 있다고 말했다.
현재 페이스북은 쿠마르에게 현상금을 지급한 뒤 이 취약점을 보완한 상태다.