페이스북에 올린 사진을 허락없이 삭제할 수 있는 버그가 보안연구원을 통해 공개된 뒤 2시간만에 수정이 이뤄졌다.
12일(현지시간) 보안회사 소포스의 블로그인 네이키드시큐리티에 따르면 랙스맨 무디아 보안연구원은 자신의 블로그에 (페이스북 내에) 사용자, 페이지, 그룹이 소유한 어떤 사진 앨범도 삭제될 수 있다고 밝혔다. 이 연구원은 페북이 해당 사실을 알린 뒤 취약점 신고 포상금으로 최고수준인 1만2천500달러를 받았다.
무디야 연구원은 페북이 적용하고 있는 '그래프 API'에서 버그를 발견했다. 그래프 API는 웹사이트나 웹기반 애플리케이션이 페북의 데이터에 접근할 수 있도록 하는 개발자용 플랫폼이다.
그래프 API는 한 사용자가 다른 사용자의 사진 앨범을 지우지 못하도록 막고 있다. 그러나 이 연구원은 자신의 모바일 기기가 가진 보안접속토큰을 조작하는 방법으로 다른 사람의 사진앨범에 접속해 읽기/쓰기는 물론 삭제까지 가능하다는 사실을 확인했다.
관련기사
- 페북, 死後 계정 관리인 지정 기능 도입2015.02.13
- 페북, 오픈소스 네트워크 장비 디자인 공개2015.02.13
- 페이스북, ‘왕따’ 예방 사이트 오픈2015.02.13
- IE11서 제로데이 취약점 발견2015.02.13
해당 내용이 공개된 뒤 페북측은 겨우 2시간만에 보안 업데이트를 수행했다. 그만큼 심각한 취약점이었던 셈이다.
2013년 기준 페북은 3천500만장 이상의 사진이 매일 자사 서비스에 업로드되고 있다고 밝혔다. 현재 이 서비스 사용자가 13억명으로 중국 전체 인구수에 맞먹는다는 점을 고려하면 사진 업로드 횟수는 훨씬 증가했을 것으로 추산된다. 만약 앞서 발견된 취약점을 악용한 공격이 발생했을 경우 페북 서비스에 치명적인 악영향을 줄 수도 있는 것이었다.
