페이스북, 보안 연구원과 인스타그램 버그 분쟁에 참여

페이스북이 보안 연구원과의 싸움에 휘말렸다. 버그 현상금 공개의 한계 - 이제 점점 커지는 드라마로 인해 보안이 분할되었습니다. 지역 사회.

드라마의 중심에는 현재 Facebook이 소유하고 있는 이미지 공유 서비스 Instagram에서 발견된 원격 코드 실행(RCE) 결함을 최근 제출한 연구원 Wes Wineberg가 있습니다.

보안 전문가는 10월에 심각한 RCE를 포함하여 일련의 결함과 약점을 발견했습니다. 취약점 - 회사의 버그 현상금의 일환으로 Facebook 보안 팀에 문제를 보고합니다. 프로그램.

블로그 게시물에서보안 회사 Synack의 계약자는 Instagram 백엔드 시스템, SSL 인증서 및 개인 키, Instagram용 인증 키 서명에 사용되는 키, 이메일 서버 자격 증명, iOS 및 Android 앱 서명 키, Twitter, Facebook, Flickr, Foursquare 및 API 키 텀블러. 연구원은 직원 계정에도 접근할 수 있었습니다.

와인버그는 다음과 같이 썼습니다.

"내가 기본적으로 인스타그램의 모든 비밀 핵심 자료에 접근할 수 있었다고 말하는 것은 아마도 공정한 진술일 것입니다. 내가 얻은 키를 사용하면 이제 쉽게 Instagram을 사칭하거나 유효한 사용자 또는 직원을 사칭할 수 있습니다.

범위를 벗어나더라도 모든 사용자의 계정, 개인 사진 및 데이터에 대한 전체 액세스 권한을 쉽게 얻을 수 있었을 것입니다. 내가 얻은 정보를 사용하여 기본 서버를 손상시키는 것이 얼마나 쉬운지는 확실하지 않지만 확실히 많은 기회가 열렸습니다."

Wineberg는 세 가지 결함을 이용하여 이 데이터를 얻을 수 있었으며, 이 결함은 모두 거대 소셜 네트워킹 회사에 보고되었습니다. 첫 번째는 팡파르 없이 받아들여졌고 Wineberg는 그의 작업에 대해 2,500달러를 제안 받았습니다. 그러나 다른 두 가지 취약점은 Facebook에 의해 만족스럽게 해결되지 않았으며 연구원이 Instagram의 옷장 뼈대를 탐색하면서 윤리적 행동의 범위를 넘어섰다고 비난했습니다.

안에 페이스북에 게시된 성명, 소셜 네트워크의 최고 보안 책임자인 Alex Stamos는 Wineberg의 제출로 인해 2,500달러를 벌었다는 사실이 이미 보고되었지만 어쨌든 보상을 받았다고 주장합니다. 보고 시점까지의 모든 것은 윤리적이었지만 Stamos는 연구원의 이후 행동으로 인해 개인적으로 개입하게 되었다고 주장합니다.

Stamos는 Wineberg가 RCE 결함을 사용하여 AWS API 키를 찾은 다음 S3 버킷을 통해 기술 및 시스템 정보를 포함하여 사용자가 아닌 Instagram 데이터를 다운로드하는 데 사용되었다고 밝혔습니다.

"AWS 키를 사용하여 S3에 액세스할 수 있다는 사실은 예상되는 동작이며 그 자체로는 보안 결함으로 간주되지 않습니다. 의도적인 데이터 유출은 우리의 버그 포상금 프로그램에 의해 승인되지 않았고 핵심 문제를 이해하고 해결하는 데 유용하지 않으며 Wes의 윤리적 행동도 아닙니다."라고 Stamos는 말합니다.

Stamos는 또한 Wineberg가 제안된 버그 포상금 지불에 "불만족"했다고 주장하고 데이터 다운로드에 대해 글을 쓸 계획이라고 답했습니다.

여기서 상황이 흥미로워집니다. Stamos는 Synack.com의 사용으로 인해 연구원이 회사를 대신하여 작업하고 있다고 Facebook이 "가정"했기 때문에 Synack의 CEO에게 연락했다고 인정했습니다. 이메일 주소 및 자신의 Facebook 계정 소속(이 중 중요한 점은 연구원이 버그 바운티에 보고서를 제출해야 함)입니다. 프로그램.)

Stamos는 CEO인 Jay Kaplan과 대화하면서 Facebook이 Wineberg가 "비윤리적으로" 행동했다고 믿었다고 설명했으며 Facebook은 이에 대해 괜찮다고 말했습니다. 연구원이 취약점 자체에 대한 보고서를 작성했지만 Facebook은 S3 액세스에 대해 논의하거나 자신이 보유한 Instagram 데이터를 공개하는 것을 받아들이지 않았습니다. 찍은.

"나는 Jay에게 Wes가 누구든지 불필요한 양의 데이터를 유출할 수 있다는 선례를 세우는 것을 허용할 수 없다고 말했습니다. 이를 합법적인 버그 연구의 일부라고 부르며, 두 회사 모두에서 이 문제를 변호사의 손에 맡기고 싶었습니다. 측면. 나는 Synack이나 Wes를 상대로 법적 조치를 취하겠다고 위협하지도 않았고 Wes를 해고하라고 요청하지도 않았습니다."라고 Stamos는 말했습니다.

변호사의 암묵적인 위협은 제쳐두고 원래 버그는 이제 수정되었으며 Stamos는 Facebook이 보안 결함에 대한 보고서를 충분히 신속하게 분류하지 않았다는 것을 인정했습니다.

드라마는 1단계에서 잘못된 의사소통으로 전개됐지만, 지금은 분열된 안보계에 흔적을 남겼다. 많은 연구자들은 Stamos의 게시물에 댓글을 달았습니다., 그 중 일부는 Facebook에 동의하지만 많은 사람들은 그렇지 않습니다. 이는 실수로 인해 입안에 쓴 맛이 남았음을 암시합니다.

일부에서는 RCE 결함이 이미 알려져 있었기 때문에 즉시 수정했어야 했다고 지적했고, 일부에서는 연구원이 결함을 제출한 이유 - 특히 그러한 가정으로 인해 드라마가 그의 직장으로 확산되었습니다. 원인.

논쟁의 주요 뼈는 Facebook이 연구원들이 일단 결함을 발견한 후에 추가 문제를 찾아 헤매지 말아야 한다고 구체적으로 말하지 않는다는 것입니다. 그런 규칙을 지정하지 마세요, Microsoft와는 다릅니다.

한 사용자가 언급했듯이 명확성이 핵심입니다.

"페이스북은 그런 제한 사항을 공개하지 않았고 지금도 공개하지 않았기 때문에 토끼가 얼마나 깊은지 알아보기 위해 노력하고 있습니다. 구멍은 다른 항목을 위반하지 않는 한 모든 실제적인 목적을 위해 "범위 내"입니다. 제한.

그것이 그들이 원하는 것이 아니라면 그들이 해야 할 일은 단지 몇 마디만 바꾸어 그들의 의도를 분명히 하는 것 뿐이고 아무런 문제도 없을 것입니다!"

계속 읽어보세요: 최고 추천 상품

• 포트 실패 VPN 보안 결함으로 실제 IP 주소 노출
• 딜러들, 배기가스 스캔들로 폭스바겐 집단소송 제기
• 버그 포상금: 어느 회사가 연구자들에게 현금을 제공합니까?
• 귀하의 비즈니스는 데이터 침해를 겪었습니다. 이제 뭐?
• 다크 웹에 대해 당신이 몰랐던 10가지 사실