포스팅 내용

국내외 보안동향

680만 사용자들의 사진을 타사 앱에 노출시킨 새로운 페이스북 버그 발견

New Facebook Bug Exposed 6.8 Million Users Photos to Third-Party Apps


페이스북 웹사이트의 프로그래밍 버그로 인해, 타사 앱 1,500개가 페이스북 사용자 680만명이 게시하지 않은 사진에 접근할 수 있었습니다.


페이스북은 새로운 포토 공유 시스템에서 876명의 개발자들이 사용자들의 개인 사진에 접근할 수 있었던 API 버그를 발견했다고 공지했습니다. 노출 된 이미지들은 사용자들이 페이스북 마켓플레이스나 스토리에 업로드한 이미지를 포함, 사용자들이 타임라인에 공유 하지 않은 것들이었습니다.


페이스북은 “사용자가 앱에 페이스북 사진에 대한 접근 권한을 부여할 때, 보통 타임라인에 공유 된 사진에 대한 접근 권한만을 부여합니다. 이 버그로 인해, 개발자들은 마켓플레이스나 페이스북 스토리에 공유했던 다른 사진들에까지 접근할 수 있었습니다.”라고 밝혔습니다.


심지어 이 버그는 사용자들이 페이스북에 올리지 않기로 결정했거나 업로드를 끝마치지 않았던 사진들까지 노출시켰습니다.


이 결함으로 인해 사용자들의 개인 데이터는 지난 9월 13일부터 페이스북이 이 버그를 수정한 날짜인 25일까지, 총 12일 동안 노출 되었습니다.


“현재, 우리는 이 버그가 최대 680만명의 사용자와 876명의 개발자가 개발한 앱 최대 1,500개에 영향을 미치는 것으로 추측합니다. 페이스북이 photos API에 접근하도록 승인한 앱들과, 사진에 접근하도록 허용한 사용자들이 이 버그에 영향을 받았습니다.”


페이스북은 영향을 받은 사용자들에게 타임라인 알림을 통해 그들의 사진이 노출 되었을 가능성이 있다는 것을 알리며 더욱 자세한 내용을 담은 고객 센터 페이지로 안내했습니다.


또한 “자신의 앱 사용자들 중 이 버그에 영향을 받는 사용자가 누구인지 알려주는 앱 개발자용 툴”을 빠른 시일 내에 공개할 것이라 밝혔습니다.


그리고 앱 개발자들이 접근하도록 의도하지 않았던 사진들의 복사본을 모두 삭제할 계획이라고도 밝혔습니다.


2018년은 페이스북에 꽤 다사다난한 해였습니다. 겪었던 많은 보안 사건들 중 가장 중대한 것은페이스북 사용자 8700만명의 개인 데이터를 캠브리지 애널리틱스에 유출시킨 것입니다.


또한 페이스북은 지난 9월 1,400만 사용자의 극도로 민감한 데이터를 노출시킨 역대 최악의 보안사고를 겪었습니다.


같은 달 페이스북은 알려지지 않은 해커가 활발히 악용해 페이스북 사용자 3,000만명의 시크릿 액세스 토큰을 훔쳐 개인 정보를 긁어 모을 수 있었던 치명적인 API 버그를 수정했습니다.


지난 6월에는 사용자가 비공개로 설정한 포스팅이 공개로 전환 되는 또 다른 보안 이슈를 겪었습니다. 이는 1,400만 사용자에 영향을 미쳤습니다.


페이스북은 사용자들의 정보를 활용해 수십억 달러의 수익을 내고 있음에도, 정작 22억명 사용자들의 개인 정보를 보호하는데는 실패했습니다.





출처 :


티스토리 방명록 작성
name password homepage