2024-03-29 23:10 (금)
페북에 취약점 제보...무시당하자 주커버그 담벼락 해킹!
상태바
페북에 취약점 제보...무시당하자 주커버그 담벼락 해킹!
  • 호애진
  • 승인 2013.08.20 03:23
이 기사를 공유합니다

팔레스타인 해커, 다른 사람의 타임라인에 글을 마음대로 게재할 수 있는 취약점 발견
팔레스타인의 웹 개발자이자 해커인 칼릴 슈레아테(Khalil Shreateh)는 페이스북의 프라이버시 설정을 우회해 다른 사람의 타임라인(Timeline)에 글을 마음대로 게재할 수 있는 취약점을 발견하고 이를 페이스북측에 보고했다. 

그러나 페이스북 보안팀이 그가 발견한 치명적인 취약점을 세차례나 인정하지 않자, 그는 자신의 주장이 옳다는 것을 증명하기 위해 페이스북의 설립자인 마크 주커버그(Mark Zuckerberg)의 타임라인에 취약점과 관련한 글을 게재했다. 해당 취약점은 공격자의 친구 목록에 추가되지 않은 사용자에게도 적용된다.


이번 취약점은 페이스북 시스템상의 'composer.php' 파일에서 발견됐다. 칼릴은 처음에 페이스북의 CEO인 마크 주커버그와 동문인 사라 구든(Sarah Gooden)이라는 여학생의 타임라인에 글을 게재했다.

그러나 페이스북 보안팀은 그가 발견한 버그를 재현할 수 없었고 “죄송하지만, 이것은 버그가 아닙니다”라는 답변을 제공했다. 이번 취약성에 대한 보다 자세한 정보를 요구하는 페이스북 엔지니어의 답변을 받은 후 칼릴은 보안팀에 대한 실망감을 나타내며 자신의 발견이 옳다는 것을 증명하기 위해 주커버그의 담벼락(wall)에 취약점과 관련한 사항을 게재했다.

버그 보고서를 세번째 받고서야 페이스북의 보안 엔지니어는 마침내 취약점을 인정했지만, 그는 칼릴이 자사의 서비스 약관을 위반했기 때문에 그에게 보상금을 지급하지 않을 것이라고 밝혔다.

페이스북의 버그 바운티(Bug Bounty) 프로그램에 따르면, 취약점을 발견하는 해커는 대중에 공개하지 않고 이메일을 통해 페이스북 보안팀에 이를 보고해야 한다. 유효한 취약점에 대해서만 최소 보상금인 500달러가 지급된다.

데일리시큐 호애진 기자 ajho@dailysecu.com

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★