지난주, 네이키드 시큐리티 등에서 여러분에게 페이스북이 6백만 사용자의 이메일 주소와 전화번호를 유출했지만, 그것은 수백만 사용자 서비스에 제공된 그다지 심각하지 않은 유출이었다고 한 것을 기억하십니까?
좋습니다. “심각하지 않다(modest)”라는 부분에 밑줄 그어 주세요
페이스북이 사실상 사용자들에 대한 비밀 문서들을 만들고 있다는 것을 처음으로 발견했던 연구원들이 지금 그 숫자가 일치하지 않는다고 말하고 있습니다.
페이스북이 그들의 시큐리티 블로그의 한 포스팅에서 언급했던 피해를 입은 사용자의 숫자는 연구원들이 발견했던 것보다 훨씬 적고, 또 페이스북은 유출시에 공유되고 노출되었던 비사용자 연락처 정보를 저장하고 있다고, ZDNet의 Violet Blue는 전합니다.
이 버그에는 데이터 히스토리 기록에 접근하기 위해 DYI(Downlaod Your Information) 툴을 이용할 때 연락처 상세정보가 유출되는 것이 포함하는데, 그것은 사용자들이 페이스북에 제공하지 않았던 연락처로 주소록에 접근하는 결과를 낳았습니다.
그것이 의미하는 것은 만약 여러분이 개인정보를 페이스북에 공개하지 않았더라고, 페이스북이 여러분 네트워크 속에 있는 다른 사람들을 통해 그들의 연락처 목록에 접근하여 그것을 가져올 수도 있다는 것입니다.
우연히도 페이스북은 사용자 자신의 페이스북 프로필에 이런 “그림자(shadow)” 프로필을 결합시켰고, 그런 다음 이 모든 데이터를 DYI툴을 사용한 사람들과 데이터가 유출된 사람들에게 연결된 사람들에게 발설하였습니다.
그것이 페이스북 사용자들이 열 받은 이유입니다.
페이스북은 여러분이 공유하려 하지 않았던 정보를 가져갔고, 그것을 계속 유지하면서, 적어도 2012년까지는 부주의하게도 허가되지 않은 접근에 대해 그것을 공개해 왔던 것입니다.
Violet Blue에 의하면, 사실상 몇몇 사용자들은 페이스북이 그것을 수정했다고 발표한 다음에도 그 버그를 계속 유지해 왔다고 불평했습니다.
Packet storm은 그 유출을 검증한 사전 테스트 데이터를 가지고 있는 그 연구원들이, 그들이 유출되었다고 알고 있는 것과 페이스북에서 사용자들에게 보고한 것과 비교할 수 있었다고 지난 수요일에 보고하였습니다.
Packet Storm은 페이스북이 관련된 모든 데이터를 실토하지 않았다고 주장합니다.
'우리는 페이스북 이메일 확인 데이터와 우리의 테스트 케이스 데이터와 비교를 해봤습니다. 한 경우에는, 비록 4개의 데이터를 사실상 밝혀냈는데, 그들은 하나의 추가적인 이메일 주소를 밝혀냈다고 주장했습니다. 또 다른 개개의 경우에, 그들은 밝혀낸 7개 데이터 중 3개만 그에게 알려줬습니다. 그것은 폭로된 정보의 정확한 합계를 얻기 위해 데이터셋을 통해 숫자화하지 않았다는 것을 명백히 보여줍니다.'
'페이스북은 그것이 주어진 사용자들에게 속한 것인지 확인 할 수가 없었기 때문에 정보가 보고되지 않은 거라고 주장합니다. 페이스북은 어떤 데이터가 밝혀졌는지 사용자에게 알릴 때 자신만의 판단력을 사용하지만, 그것이 여러분의 데이터를 수집하였을 때는 ‘버그’에 의한 것이었고 사용된 어떤 판단력도 분명히 없었습니다. 그들이 폭로의 실제 규모를 설명하기 위해 이 시점에 어떤 추가적인 조치를 취할 것처럼 보이지는 않고 우리는 그 숫자가 훨씬 더 많다고 의심하고 있습니다."
Packet Storm은 페이스북이 오직 페이스북 사용자에게만 연락한 것만 받아도, 유출된 데이터의 정도가 확대될 것 같고, 또 피해를 입은 사람들의 숫자가 600백만 이 훨씬 넘을 거라고 말합니다.
다음은 Packet Storm이 유출에 대해 비사용자에게 연락한 것에 대해 질문했을 때 답변한 내용입니다.
"우리는 페이스북에게 그들이 그들의 보고가 버그를 가지고 있었다고 할 희망으로 정보를 열거했었는지 물어봤지만 우리는 그들이 유출된 정보가 사용자 이름과 일치하면 알려줬다는 얘기만 들었습니다."
"우리는 페이스북에게 페이스북 비사용자들의 정보도 밝혀진 것이 의미하는 것이 무엇인지 물어봤습니다. 그 대답은 간단합니다. 그들에게는 연락하지 않았고 정보는 보고되지 않았습니다. 페이스북은 만약 그들이 비사용자에게 연락하려고 하면, 그것이 더 많은 정보 폭로로 이끌 것이라고 느꼈습니다."
Packet Storm은 그것은 “허술하고, 돌고 도는” 논쟁이라고 불평합니다.
사용자들의 연락처와 개인정보를 더 잘 보호하기 위해서, 그 연구원들은 페이스북이 쉽게 채택할 수 있는 다음과 같은 추천 절차를 제안합니다.:
1. 어떤 사람이 누군가의 연락처 정보를 업로드할 때, 페이스북은 자동으로 그것을 그들의 프로필에 공유하는 것과 연관시켜야 합니다.(그리고, 그들의 설정에서 그것을 허용한다면 친구에게만 하도록 제안합니다.) 만약 그들의 설정이 그것을 허용하지 않는다면, 그들은 그것을 페이스북을 사용하지 않는 사용자로 간주해야 합니다.(2번 참조) 만약 업로드된 정보가 그들의 프로필에 포함된 그 데이터를 아직 가지고 있지 않은 개인에게 특정한 데이터를 가지고 있다면, 페이스북은 다음과 같이 알림을 해줘야 합니다.
"당신은 페이스북에서 공유하지 않았던 John Smith에 대한 데이터를 추가하려고 하고 있습니다. 이 상황을 어떻게 처리하기를 바랍니까?"
2가지 옵션이 제공됩니다.
A) '이 정보를 추가하기 위해 John Smith의 승인을 요청합니다.
B) '추가 정보를 버립니다.'
만약 그들이 A옵션을 선택하면, John Smith는 그의 데이터로 하고 싶은 것을 결정하기 위해 다음 번에 그가 로그인하여 가져간 것을 페이스북으로부터 알림을 받게 됩니다. 매우 간단해 보입니다.
2. 어떤 사람이 누군가의 연락처 정보를 업로드하고 그것을 어떤 페이스북 사용자들과도 연관 짓지 않을 때, 페이스북이 1주일 이내의 모든 데이터를 자동으로 삭제한다는 경고가 있는 초청(Invitation) 기능에 대해 그것을 사용할 수 있습니다. 어쨌든, 그 사람을 초청하는 것은“이 링크는 1주일 내에 만료될 것입니다.”라고 말할 수 있습니다. 한 개인이 등록하라는 초청 링크를 사용했을 때, 그들은 어떤 정보를 페이스북과 공유할 지 결정할 것입니다.
그것은 매우 간단해 보이지만, 페이스북은 이 글을 쓰는 시점에 그 제안에 대해 답변을 주지 않았습니다.
우리가 페이스북이 원래 보고되었던 것보다 훨씬 더 널리 퍼진 것 같은 이 상황을 수정하는 것을 기다리는 동안, 우리는 모든 개인정보를 이 늪으로부터 빼내기 위해 모든 개인정보를 우리가 불러들인 연락처를 즉시 제거함으로써 서로 서로를 도울 수 있습니다.
만약 여러분이 아직 그렇게 하지 않았다면, 여러분은 여기 업로드된 연락처를 쉽게 없앨 수 있습니다.
'security > 보안 뉴스' 카테고리의 다른 글
| [Sophos] 더티 더즌(Dirty Dozen) 스팸 발송국, 소포스랩 SPAMMIERSHIP League Tables 소개 (0) | 2013.07.23 |
|---|---|
| [Sophos] “지금 바로 비밀번호를 바꾸세요”라고 권고하는 유비소프트(Ubisoft) (0) | 2013.07.11 |
| [Sophos] "Citadel" 크라임웨어의 대규모 무력화(takedown) 속의 FBI와 마이크로소프트 (0) | 2013.06.19 |
| [Sophos] 미국 정부에 의해 폐쇄된 디지털 환전업체 리버티 리저브(Liberty Reserve) (0) | 2013.06.08 |
| [Sophos] 티파니에서의 아침 맬웨어? 널리 퍼진 트로이목마 (0) | 2013.06.08 |