포스팅 내용

국내외 보안동향

텀블러, 사용자의 계정 정보를 노출시킬 수 있었던 결점 패치

Tumblr Patches A Flaw That Could Have Exposed Users’ Account Info


텀블러(Tumblr)가 금일 웹사이트에 해커들이 사용자 계정의 로그인 크리덴셜 및 기타 개인 정보를 훔치도록 허용하는 보안 결함이 있음을 인정하는 보고서를 발표했습니다.


영향을 받는 정보는 사용자의 이메일 주소, 보호 된(해싱, 솔티드) 계정 패스워드, 사용자가 등록한 위치, 이전에 사용한 이메일 주소들, 마지막 로그인 IP 주소, 모든 계정과 관련 된 블로그 명 등을 포함합니다.


회사에 따르면, 한 보안 연구원이 웹사이트의 데스크탑 버전에서 치명적인 취약점을 발견해 버그 바운티 프로그램을 통해 텀블러의 보안 팀에게 제보한 것으로 나타났습니다.


회사는 해당 연구원의 이름이나 취약점에 대한 기술적 세부내용을 공개하지는 않았지만, 이 결점이 웹사이트의 “추천 블로그” 기능에 존재했다는 사실은 공개했습니다.


추천 블로그 기능은 사용자들이 관심을 가질 만한 다른 블로그의 목록을 표시하도록 설계 되었습니다. 이 기능은 로그인한 사용자들에게만 보여집니다.


텀블러는 “블로그가 해당 모듈에 표시 되면, 디버깅 소프트웨어를 특정한 방법으로 사용해 해당 블로그와 관련 된 계정 정보를 열람할 수 있는 것이 가능했습니다.”고 밝혔습니다.


즉, 사용자의 블로그가 취약한 기능을 통해 공격자에게 추천 되었을 경우에만 이 취약점에 영향을 받는다는 것입니다.


이 회사는 취약한 기능을 통해 추천 된 계정들을 알아내지 못했기 때문에 영향을 받은 사용자의 수를 집계할 수 없었으나 “이 버그는 거의 발생하지 않았다”고 결론지었습니다.


또한 텀블러는 내부 조사 결과 공격자가 이 버그를 악용했다는 증거는 찾을 수 없었다고도 밝혔습니다.


텀블러의 공지는 페이스북이 3천만 사용자들의 액세스 토큰을 포함한 개인 정보를 도난당한 역대 최악의 보안 사고가 발생한지 일주일이 채 되지 않은 시점에 발표 되었습니다.


또한 약 일주일 전, 구글은 수 십만 사용자의 비공개 데이터를 써드파티 개발자들에 노출시킨 사건 이후로 자사의 소셜 미디어 네트워크인 구글 플러스의 서비스를 종료하겠다고 발표했습니다.


지난 달 말, 트위터도 유사한 보안 사고를 겪었다고 발표했습니다. API 결점으로 인해 승인 되지 않은 써드파티 앱 개발자들에게 사용자 3백만명의 DM(다이렉트 메시지)와 보호 된 트윗이 유출 되었습니다.



 



출처 : 

https://thehackernews.com/2018/10/tumblr-account-hacking.html



티스토리 방명록 작성
name password homepage