Home > 전체기사

온라인 데이팅 서비스 범블, 1억 명 사용자 정보 노출

  |  입력 : 2020-11-17 11:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
1억 명 사용자가 가입된 온라인 데이팅 서비스 범블, API 버그 있어
버그 익스플로잇 하니 유료 서비스 가입되고 사용자 민감 정보에 접근


[보안뉴스 문가용 기자] 온라인 데이팅 서비스 범블(Bumble)에서 사용자 민감 정보가 대량으로 유출됐다. 보안 전문가 산자나 사르다(Sanjana Sarda)가 발견한 것으로, 이번 사건은 API 취약점들에 기인한다. 사르다는 이 API 취약점들을 익스플로잇 해 범블의 유료 서비스도 공짜로 이용하고 다른 사용자의 개인정보에도 접근할 수 있다는 사실을 확인해 범블 측에 알렸다. 약 1억 명이 이 사건에 영향을 받은 것으로 알려져 있다.

[이미지 = utoimage]


사르다는 “이 취약점들은 찾아내기가 무척 쉽다”며 “서비스 개설자 입장에서 좀 더 꼼꼼하게 기본 확인 사항만 검사했어도 없었을 문제”라고 주장했다. “취약점을 처음 발견하는 데 걸린 시간은 딱 이틀이었습니다. 그리고 다시 이틀 정도만에 개념증명용 익스플로잇을 개발했고요. API 취약점이라는 것 자체가 널리 알려지지 않아서 그렇지, 현재 IT 인프라에서 API는 꽤나 위험할 수 있는 요소입니다.”

사르다가 한 건 범블 API에 대한 리버스 엔지니어링이었다. 이를 통해 서버가 확인하지 않은 행동들을 처리하는 엔드포인트가 존재하고 있음을 알아냈다. 즉 유료 서비스 이용자들에게만 제한된 서비스를 이용할 방법이 존재한다는 뜻이었다. 확인을 해 보니 일부 유료 사용자들처럼 ‘상대에게 관심이 있다’는 표현을 무료 사용자인 사르다도 무한정으로 할 수 있었다고 한다.

그것만이 아니었다. 사르다는 server_get_user 엔드포인트에 접근해 범블 사용자 전체의 목록을 확인하는 데에도 성공했다. 이를 통해 사용자들의 페이스북 데이터와 ‘소원’ 데이터를 확보할 수도 있었다. 즉 민감할 수 있는 프로파일 정보 및 성적 취향을 암시할 수 있는 정보까지도 취득할 수 있음을 발견한 것이다. 범블 프로파일에는 정치적 성향, 별자리, 교육 수준, 키, 몸무게 등의 정보가 포함되어 있다. 뿐만 아니라 범블의 모바일 앱도 설치되어 있는지, 그리고 공격자로부터 얼마나 먼 거리에 있는지도 확인이 가능했다.

사르다는 “특정 사용자를 구체적으로 표적 삼을 수 있게 해 주는 수준의 프라이버시 침해 사건”이라고 주장하며 “공격 표적의 위치까지도 간단하게 파악할 수 있는 위험한 위협”이라고 결론을 내렸다. 더불어 성적 취향까지 원치 않게 공개된다면 여러 가지로 피해를 입을 수 있다는 것도 지적했다.

사르다는 이 모든 내용을 범블 측에만 알렸다. 얼른 취약점을 해결하라는 것이었다. 하지만 225일이 지나도록 범블 측에서는 아무런 답장이 없었다. 그래서 연구 내용을 공개할 수밖에 없었다고 한다. 범블은 해커원을 통해 버그바운티를 진행하고 취약점 제보를 받는데, 사르다 측이 ‘공개’를 언급하고 나서야 답장을 보냈다. 그것도 해커원이 “범블 측은 취약점 공개를 원치 않는다”고 대신 보낸 서신 뿐이었다.

그 후 해커원이 앞장서서 범블의 취약점을 해결하고 위협 요소들을 완화시키려고 했다. 하지만 아직 문제가 다 해결되지는 않았다고 한다. 현재로서는 사용자의 위치를 공격자에게 알려 주는 부분은 더 이상 작동하지 않는다. 그러나 페이스북 정보에 접근하는 건 여전히 가능하다. 지금도 문제를 해결하는 중인 것 같다고 사르다는 설명한다.

범블은 해커원을 통해 사르다에 500달러의 상금을 제공했다. 하지만 사르다는 거절했다. “저희가 제보한 목적은 범블이 모든 문제를 완전히 해결하는 데 도움을 주기 위한 것이었습니다. 돈이 목적이었다면 처음부터 해커원에 노크를 했겠죠. 아직 문제가 다 해결되지도 않았고, 그러므로 저희의 목적이 달성되지도 않은 상태에서 보상을 받을 수는 없었습니다.”

3줄 요약
1. 유명 온라인 데이팅 사이트 범블, API 버그로 사용자 정보 노출.
2. 발견한 보안 전문가에게 200일 넘게 무응답.
3. 아직도 문제 일부만 해결된 상태. 최초 발견자는 상금도 거절.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협