포스팅 내용

국내외 보안동향

해커들, 제로데이 취약점 악용해 5천만 페이스북 사용자의 액세스 토큰 탈취해

Hackers Stole 50 Million Facebook Users' Access Tokens Using Zero-Day Flaw


페이스북이 익명의 해커들이 페이스북 플랫폼의 제로데이 취약점을 악용해 5천만 계정의 비밀 액세스 토큰을 훔쳤다고 밝혔습니다.


페이스북은 지난 금요일 블로그 게시물을 통해 3일 전(9/25) 보안팀이 이 공격을 탐지했으며, 아직까지 조사중이라 밝혔습니다.


이 취약점의 세부 사항은 아직 밝혀지지 않았으며, 페이스북은 이를 이미 패치했습니다. 이 취약점은 다른 페이스북 사용자들이 해당 사용자의 페이지에 방문하면 어떻게 보이는지 확인하기 위해 사용하는 “View As” 기능에 존재했습니다.


이 취약점으로 인해, 해커는 비밀 액세스 토큰을 훔쳐 계정의 비밀번호나 이중인증 코드 없이도 계정에 접근할 수 있었습니다.


비밀 액세스 토큰은 “사용자를 페이스북에 로그인 된 상태로 유지하는데 사용 되는 디지털 키와 같은 것으로, 이를 이용하면 앱을 켤때마다 매번 비밀번호를 입력하지 않아도 됩니다.”


페이스북은 이미 영향을 받은 페이스북 계정 약 5천만개 및 추가 4천만개 계정의 액세스 토큰을 리셋했습니다.


조사가 아직까지 초기 단계이기 때문에, 페이스북은 도난 당한 액세스 토큰이 악용 되었는지 또는 공격자가 어떤 정보에 접근할 수 있었는지 등은 아직까지 확인하지 못한 상태입니다.


지금까지 알려진 해커가 사용한 페이스북 취약점 3가지


첫 번째 버그는 “View As” 페이지에 접근 시 특정 포스트에 “생일 축하” 영상을 포스팅할 수 있도록 하는 영상 업로드 옵션이 잘못 제공되는 것입니다.


두 번째 버그는 영상 업로더에 존재하며, 페이스북 모바일 앱에 로그인할 수 있는 권한이 있는 액세스 토큰을 잘못 생성하는 것입니다.


세 번째 버그는 생성 된 액세스 토큰이 해당 페이지를 보고있는 사용자가 아닌 해당 페이지의 주인의 소유라는 것입니다. 이로써 공격자가 시뮬레이션 한 사용자 계정의 액세스 토큰을 훔칠 수 있게 됩니다.


사용자의 페이스북 비밀번호가 해킹 된 것은 아닙니다.


사용자의 페이스북 계정 비밀번호가 해킹 된 것은 아닙니다. 하지만, 액세스 토큰이 있다면 비밀번호는 필요하지 않습니다.


어플리케이션이나 공격자는 비밀번호나 이중인증 코드가 없이도 이 수천만 개의 비밀 액세스 토큰을 이용해 API를 통해 각각의 계정의 정보를 빼내올 수 있습니다.



해커들, 페이스북 API를 사용해 사용자의 개인 정보 다운로드 가능


얼마나 많은 계정이 영향을 받았으며, 페이스북이 사건을 눈치 채기 전 해커가 어떤 개인 정보에 접근했는지는 알려지지 않았지만 이 취약점은 수 년간 존재해 왔으며 사용자의 모든 개인 정보, 개인 메시지, 사진, 영상이 해커들에게 노출 되어 있었습니다.



“페이스북으로 로그인”한 타사 앱 및 웹사이트 계정이 위험합니다.


액세스 토큰을 사용하면 해커들이 계정의 주인으로써 로그인이 가능했기 때문에, 페이스북 로그인 방식을 사용하는 타사 앱 및 웹사이트에 접근할 수 있을 가능성이 있습니다.




출처 :

https://thehackernews.com/2018/09/facebook-account-hack.html

https://thehackernews.com/2018/09/facebook-account-hacked.html



티스토리 방명록 작성
name password homepage