Apple paid a $50,000 bounty to two bug bounty hunters for hacking its hosts 인도의 화이트햇 해커인 Harsh Jaiswal과 Rahul Maini가 애플 서버에 접근이 가능했던 여러 취약점을 발견했다고 주장했습니다. 이 듀오는 다른 연구원 팀이 애플로부터 어마어마한 상금을 지급 받은 것을 보고 지난 10월 애플의 인프라를 집중적으로 조사하기 시작했습니다. 두 전문가는 PII 노출이나 애플의 서버 또는 내부 네트워크에 대한 접근 권한을 얻는 등 치명적인 취약점을 찾는데 집중했습니다. 이들은 정찰 및 핑거프린트 채취 과정에서 빠른 웹 애플리케이션 개발을 위해 Lucee가 사용된 콘텐츠 관리 시스템(CMS)을 실행하는 애플 호스트 3개를 발견했습니다..

국내외 보안동향 2021. 1. 19. 09:03

해커가 원격 코드 실행 익스플로잇으로 페이스북 해킹해Hacker Breaches Facebook with Remote Code Execution Exploit 페이스북이 보안 전문가 Andrew Leonov에게 $40,000의 버그바운티를 지급한 것으로 밝혀졌습니다. Leonov는 자신이 발견한 원격 코드 실행 버그를 통해 페이스북 해킹에 성공했습니다. Leonov는 Image Magick 취약점을 사용해 페이스북을 해킹할 수 있었다고 밝혔습니다. 이 취약점은 작년에 발견된 후 패치 완료되었으나, 아직까지도 페이스북에 영향을 미치는 것으로 확인되었습니다. 그는 해당 취약점을 원격 코드 공격 익스플로잇의 한 부분으로 사용하는 방법을 찾아냈습니다. Leonov는 이 취약점을 지난 10월 6일 페이스북에 제보..

국내외 보안동향 2017. 1. 19. 15:44

보안 취약점 신고 포상제, 버그바운티(Bug Bounty) 제도란 무엇인가? 버그바운티(Bug Bounty)란 보안 취약점 신고 포상제로, 이를 허락한 회사의 제품이나 사이트 등에서 보안 취약점을 발견하면 이를 해당 회사에 통보하여 포상금을 받는 제도입니다. 구글, 페이스북, 마이크로소프트 등 글로벌 IT 기업에서는 이미 버그바운티 제도가 굉장히 활발하게 운영되고 있습니다. 누적 보상금이 수십억원에 달할 정도로 보상금에 대한 투자 또한 아끼지 않고 있는데요. 그들이 버그바운티 제도를 지속적으로 유지하는 이유는 해당 제도를 통해 신고받은 취약점을 신속하게 보안 업데이트하여 피해를 미리 예방할 수 있기 때문입니다. 실제로 외국의 경우, 적은 포상금으로 치명적인 취약점을 발견한 사례가 다수 있습니다. 따라서 ..

전문가 기고 2016. 9. 8. 10:21

중국의 대표 취약점 공유 플랫폼 WooYun 폐쇄乌云网停摆 WooYun는 중국 내 취약점 공유 사이트입니다. 화이트 해커들이 특정 회사 혹은 특정 제품에 대한 취약점을 찾아내어 WooYun에 제출하면, WooYun의 심의를 거쳐 해당 취약점에 대한 간략한 내용을 WooYun 플랫폼에 공개합니다. 사이트는 기업에게 취약점에 대해 인지할 수 있는 기간을 5일정도 제공하고, 취약점이 발견된 지 10일 후, 핵심 화이트 해커들에게 관련 상세내용을 공개합니다. 20일 후에는 일반 화이트해커들에게, 30일 후에는 인턴 화이트해커들에게 상세내용을 공개합니다. 만약 45일 후에도 기업이 취약점에 대하여 아무런 조치를 취하지 않는다면, 사이트는 일반 사용자들에게까지 취약점의 상세 내용을 공개합니다. WooYun은 이러한..

국내외 보안동향 2016. 8. 18. 15:53

인스타그램 해킹: 연구원이 인스타그램 서버 및 관리 페이지 해킹해Shocking! Instagram HACKED! Researcher hacked into Instagram Server and Admin Panel 한 보안연구원은 인스타그램 서버에 저장된 민감 데이터에 접근할 수 있는 취약점을 공개했다가 페이스북에 협박을 받고 있다고 주장했습니다. 이 연구원이 공개한 취약점을 이용하여 접근할 수 있는 민감정보들은 아래와 같습니다. 인스타그램의 소스코드인스타그램의 SSL 인증서 및 Private key들인증 쿠키를 서명하는데 사용한 Key들인스타그램 사용자 및 직원의 신상 정보Email 서버 크리덴셜6개 이상의 다른 크리티컬한 기능의 Key들 하지만 페이스북은 그에게 버그바운티를 지급하는 대신, 그가 고의..

국내외 보안동향 2015. 12. 21. 20:19

버그헌터(Bug Hunter)에게 최대 2만달러의 보상, LINE이 취약성 대책에 새로운 방법 도입「バグハンター」に最大2万ドルの報奨金、LINEが脆弱性対策に新手法導入 LINE은 2015년 8월5일, 무료통화, 채팅어플이 가능한 메신저 ‘LINE' 에 대해서 취약성(시큐리티상의 결함)을 발견한 기술자에게 보상금을 지불하는 제도 ‘LINE Bug Bounty Program’을 시작한다고 발표했습니다. 8월24일부터 9월23일까지 보고를 받아서 취약성 1건당 500달러~2만달러 (6만2000엔~248만엔)의 보장금을 지불하는 것이 내용입니다. 보고는 8월24일에 만들어진 전용폼을 통해서 제보를 받게되며, ‘버그헌터’의 활동이 활발한 영어권쪽에서 참가하기 쉽도록 영어로 쓴 보고도 받기로 했다고 합니다. 보고는 L..

국내외 보안동향 2015. 8. 7. 17:57