인스타그램 해킹: 연구원이 인스타그램 서버 및 관리 페이지 해킹해

인스타그램 해킹: 연구원이 인스타그램 서버 및 관리 페이지 해킹해

Shocking! Instagram HACKED! Researcher hacked into Instagram Server and Admin Panel

한 보안연구원은 인스타그램 서버에 저장된 민감 데이터에 접근할 수 있는 취약점을 공개했다가 페이스북에 협박을 받고 있다고 주장했습니다. 

이 연구원이 공개한 취약점을 이용하여 접근할 수 있는 민감정보들은 아래와 같습니다. 

인스타그램의 소스코드

인스타그램의 SSL 인증서 및 Private key들

인증 쿠키를 서명하는데 사용한 Key들

인스타그램 사용자 및 직원의 신상 정보

Email 서버 크리덴셜

6개 이상의 다른 크리티컬한 기능의 Key들

하지만 페이스북은 그에게 버그바운티를 지급하는 대신, 그가 고의로 해당 취약점을 알려주지 않았으며, 직원들의 정보를 유출했다며 고소한다고 협박해 온 것으로 알려졌습니다. 

Synack의 보안 연구원인 Wesley Weinberg는 페이스북의 버그바운티 프로그램에 참가해 인스타그램 시스템을 분석하였으며, 그 과정에서 일반적으로 사용자의 로그인 정보를 기억하는데 사용되는 사용자의 세션 쿠키가 처리되는 과정에서 RCE(원격코드실행)버그를 발견하였습니다. 

RCE버그는 아래 두 취약점으로 인해 가능해 졌습니다. 

1.해당 서버에서 운영되는 Sensu-Admin 웹 앱이 하드코드 된 Ruby 시크릿 토큰을 포함하고 있었습니다

2.Ruby 3.x 버전을 운영하고 있는 호스트는 Ruby 세션 쿠키를 통한 코드 실행을 허용할 수 있었습니다.

Weinberg는 이 취약점을 악용함으로써 서버가 인스타그램 및 페이스북 직원들의 크리덴셜을 포함한 로그인 정보들을 포함하고 있는 데이터베이스를 성공적으로 유출할 수 있었습니다.

패스워드는 ‘bcrypt’로 암호화 되어 있었지만, Weinberg는 취약한 패스워드들(changeme, Instagram, password 등) 12개 정도를 단 몇 분만에 풀어낼 수 있었습니다.

또한 해당 서버에서 찾은 다른 설정 파일들을 살펴보던 중, 하나의 파일이 인스타그램의 Sensu 셋업을 운영하는데 사용되는 클라우드 컴퓨팅 서비스인 Amazon Web Service 계정들의 key들을 포함하는 것을 발견하였습니다. 

이 키들은 82개의 Amazon S3 버킷(스토리지 유닛)들에 실려있었으며, 이 버킷들은 매우 독특했습니다. 그는 해당 버킷 내의 가장 최신 파일에서 어떠한 민감 정보도 찾을 수 없었으나, 해당 파일의 이전 버전을 확인한 결과 모든 82개의 버킷의 내용을 읽을 수 있도록 허용하는 다른 키 페어를 발견하였습니다.

Weinberg는 우연히 아래를 포함한 거의 모든 정보에 접근할 수 있었습니다:

인스타그램의 소스코드

인스타그램의 SSL 인증서 및 Private key들 (Instagram.com 및 *.instagram.com 포함)

다른 서비스와 교류하는데 사용 되는 API 키들

인스타그램 유저들이 업로드한 이미지들

Instagram.com 웹사이트의 static 컨텐츠

Email 서버 크리덴셜

iOS/Android 앱 서명 키

기타 민감 데이터들

이에 Weinberg는 이를 페이스북의 보안팀에 제보했지만, 페이스북은 그가 이 이슈를 발견하는 중 사용자 및 직원들의 개인 데이터에 접근한 것을 우려했으며, 이러한 이유로 페이스북의 버그 바운티 프로그램에 부적격한 것으로 나타났습니다.

12월 초, Weinberg는 그의 상사인 Synack CEO인 Jay Kaplan이 페이스북의 보안 담당자인 Alex Stamos로부터, Weinberg가 발견한 인스타그램 및 페이스북의 유저들이 공격에 노출시키는 취약점과 관련된 전화를 받았다고 밝혔습니다.

Weinberg는 Stamos가 그는 페이스북의 법무팀을 끌어들이기는 바라지 않지만, 이를 법 집행부에 넘겨야 할지도 모르는 일이라고 말했다고 전했다며 그의 블로그를 통해 밝혔습니다.

이에 대해 Stamos는 성명서를 발행하여 그가 Synack이나 Weinberg에게 법적 조치를 취할 것이라 협박한 사실도 없으며, 그를 해고하라고 요청하지도 않았다고 밝혔습니다. 또한 Facebook은 sensu.instagram.com 도메인에 해당 RCE 버그가 존재함을 확인하였으며, Weinberg와 힌트를 준 그의 친구에게 $2,500의 버그 바운티 상금 지급을 약속하였다고 하였습니다.

하지만, Weinberg가 민감 정보에 접근할 수 있도록 허용한 다른 취약점들은 발견 되지 않았고, 데이터를 열람하던 중 그가 유저 프라이버시를 침해했다는 내용을 덧붙였습니다.

참고 : 

http://thehackernews.com/2015/12/how-to-hack-instagram.html

http://www.exfiltrated.com/research-Instagram-RCE.php

https://www.facebook.com/notes/alex-stamos/bug-bounty-ethics/10153799951452929