Facebook 페이지는 많은 브랜드, 제품, 영화, 유명 인사 등이 Facebook에서 마케팅을 시작하는 가장 쉬운 방법이 되었습니다. Facebook에는 이미 수백만 명의 사용자가 있는 수십만 개의 페이지가 있습니다. 이러한 페이지는 일반적으로 페이지에 정기적으로 업데이트를 게시하는 '페이지 관리자'라고 하는 사람들이 관리했습니다.
Facebook 페이지 관리자의 프로필은 일반적으로 익명이므로 계정 자체를 대신하여 칭찬이든 호언장담이든 댓글과 질문이 쏟아지는 것을 방지할 수 있습니다. 관리자가 프로필을 표시하도록 선택한 경우에만 공개적으로 표시됩니다. 많은 공동 관리자가 있을 수 있는 비즈니스 또는 커뮤니티 페이지의 경우 Facebook이 페이지 자체의 이름 외에는 아무것도 공개하지 않을 것입니다. 그러나 Facebook 페이지 관리자에게 연락하거나 페이지의 소유자가 누구인지 알고 싶은 경우가 있습니다. 페이스 북 페이지 입니다!
멕시코의 한 보안 연구원은 최근 Facebook에서 누구나 공개 정보가 아닌 Facebook 페이지 관리자 프로필을 노출할 수 있는 심각한 정보 공개 취약점을 발견했습니다.
이 모든 것은 Facebook이 페이지 관리자가 '페이지 자체가 아니라 페이지의 특정 게시물을 좋아하는' 청중을 대상으로 사용자에게 자신의 페이지를 좋아할지 묻는 초대장을 보내 페이지를 좋아하도록 하는 훌륭한 기능을 도입했을 때 시작되었습니다. 며칠 후 이러한 상호작용 사용자는 초대를 상기시키는 자동 생성된 이메일을 받을 수 있습니다.
사이버 보안 회사인 Seekurity의 설립자인 Mohamed A. Baset는 이전에 게시물에 좋아요를 누른 적이 있는 Facebook 페이지에 좋아요를 눌러 달라는 이메일 초대를 받았습니다. 이메일의 소스 코드를 살펴본 연구원은 페이지 관리자의 이름과 기타 세부 정보가 포함되어 있음을 확인했습니다.
그런 다음 연구원은 즉시 Bugcrowd 버그 바운티 프로그램을 통해 Facebook 보안 팀에 문제를 보고했습니다. 회사는 버그를 인정하고 그의 발견에 대해 2,500달러를 수여했습니다.
그의 바셋 블로그 게시물 어떤 종류의 테스트나 개념 증명 또는 시간 소모적인 다른 유형의 프로세스 없이 초대를 받은 후 몇 분 안에(즉, 2'18” 만에) 버그를 발견했다고 주장합니다.
Baset은 이 버그를 다음과 같이 설명했습니다. "논리적 오류" 자동 생성된 이메일 Facebook 페이지를 대신하여 전송되었습니다. 그러나 Facebook은 이제 페이지 관리자를 노출시킨 이 정보 공개 취약점을 패치했습니다.
성명서에서 페이스북은 문제가 있음을 인정했지만 버그가 패치되었다고 주장했습니다.
“우리는 어떤 상황에서 친구가 아닌 사람에게 보낸 페이지 초대가 초대를 보낸 페이지 관리자의 이름을 실수로 드러내는 것을 확인할 수 있었습니다. 여기에서 근본 원인을 해결했으며 향후 이메일에는 해당 정보가 포함되지 않을 것입니다.”
Facebook은 이제 이 정보 공개 문제를 패치했지만 이미 그러한 페이지 초대를 받은 사람들은 여전히 초대 이메일에서 관리자 세부 정보를 찾을 수 있습니다.