한 인도 해커가 페이스북 로그인 시스템에 존재하는 버그를 발견해 페이스북으로부터 15,000달러 상당의 보상금을 받았다. 이 버그를 이용하면 사용자 사진, 메시지, 신용카드 정보에 접속할 수 있다고 한다.
인도의 전자상거래 업체 Flipkart 보안 담당자로 근무하는 Anand Prakash라는 이름의 이 해커는 beta.facebook.com과 mbasic.beta.facebook.com에서 무작위 대입 공격을 통해 페이스북의 어떤 계정도 패스워드 재설정이 가능하다는 것을 발견했다.
이 취약점은 페이스북 암호를 잊어먹은 경우 페이스북의 베타 도메인이 요청을 처리하는 방식에 존재한다. 페이스북은 사용자가 패스워드를 변경하는 경우 이메일이나 문자로 6자리 코드 전송을 통해 패스워드 재설정을 하도록 하고 있다. 사용자가 맞는지를 확인하고 무작위 대입공격을 막기 위해 페이스북은 사용자가 잘못된 코드를 여러번 입력하는 경우 해당 코드를 차단한다. 하지만 베타 사이트 beta.facebook.com과 mbasic.beta.facebook.com에는 해당 기능이 적용되지 않아 Prakash는 6단위 코드 무작위 공격을 수행해 패스워드를 알아내는 게 가능하다는 것을 Prakash는 알게 되었다.
Prakash는 이 사실을 2월 22일 페이스북에 알렸으며 페이스북은 3월 2일 그에게 보상금을 지급했다.
출처: Mashable
