페이스북 사용자 5천만명, 해커 공격
페이스북은 해커의 공격으로 5천만명의 사용자 계정에 주요한 보안 침해를 받았다고 보고했다.
도난당한 데이터로 공격자가 해당 사용자의 계정을 "점유"할 수 있도록 허용되었다고 페이스북은 전했다. 그러나 페이스북은 사용자들이 페이스북 암호를 변경할 필요는 없다고 말했다.
페이스북은 아직 공격의 배후가 어디인지, 어디서 공격했는지는 알지 못한다고 말했다.
마크 주커버그 페이스북 최고경영자은 해킹당한 계정이 오용되고 있는지 여부를 아직 알지 못한다고 전했다.
이 최신 해킹은 페이스북의 "View As" 기능의 버그를 포함하고 있다고 페이스북은 회사 블로그 포스트에서 밝혔다. "View As" 는 사용자가 자신의 프로필이 다른 사람들에게 어떻게 나타나는지를 알 수 있는 기능이다. 공격자는 이 취약성을 이용해 페이스북이 로그인을 유지하는데 사용하는 디지털 키인 "액세스 토큰"을 해킹했다. "액세스 토큰"을 소유하면 공격자가 해당 계정을 제어할 수 있다.
페이스북 제품 관리 담당 부사장인 가이 로젠은 "View As"기능을 통한 버그로 인해 "happy birthday (생일 축하합니다)"란 메시지를 보내려는 비디오 업로더 상태가 나타났다고 전했다.
또다른 버그로 인해 액세스 토큰이 생성되어 해커가 공격한 계정에 합법적으로 로그인한 것으로 보였다고 가이 로젠은 말했다.
Rendition Infosec의 보안전문가인 제이크 윌리엄스는 도난당한 액세스 토큰을 사용하면 공격자가 비공개 소식을 볼 수 있게 되거나 아마도 상태 업데이트 또는 공유 게시물을 게시를 맘대로 할 수 있게 될 것이라고 말했다.
제이크 윌리엄스는 이번 해킹 건은 타사의 애플리케이션에 영향을 미치는 여부가 어떠한지에 관심이 쏠리고 있다고 말했다.
그는 "페이스북 로그인"기능을 사용하여 사용자가 페이스북 자격 증명으로 다른 응용 프로그램 및 웹 사이트에 로그인할 수 있다고 덧붙였다.
페이스북에서는 비밀번호를 바꿀 필요가 없다고 알렸지만, 불안한 사람은 비밀번호를 변경하는 것도 좋겠다.
