페이스북 퀴즈 앱으로 1억2000만인분이나 되는 사용자 개인정보가 유출된 가능성

페이스북 퀴즈 앱으로 1억2000만인분이나 되는 사용자 개인정보가 유출된 가능성

Facebook상에서 이용할 수 있는 앱으로, 또다시 개인정보가 유출하는 상태에 있었던 것이 밝혀졌습니다. 문제는 이미 해결되었습니다만, 1억2000만인분의 개인 데이터가 유출된 가능성이 있습니다.

이 문제는, 스스로 「해커」를 자칭하는 Inti De Ceukelaire (이하「Inti」)씨에 의해 발견되었습니다. 독일 앱 개발 기업 Social Sweethearts 「NameTests」라고 불리는 앱이, 사용자 이름이나 생일, 사진, 친구 이름을 취득해서 JavaScript 파일에 포함되는 상태로 하고 있었던 것이 지적되었습니다.

NameTests는 「Which Disney Princess Are You?(당신을 디즈니 공주라고 하면?)」이라고 한 명칭의 퀴즈를 SNS상에서 제공했었습니다.

사용자가 Facebook앱으로 NameTests를 이용하려고 했을 때, 사용자는 퀴즈를 제공하는 사이트 「nametests.com」에 액세스해서 로그인하는 것을 요구됩니다. 이 때, 다른 앱이라도 이용되어 있는 것과 같이, Facebook 어카운트에서 로그인하는 방법을 선택하면, 사이트는 로그인에 필요한 정보를 Facebook에서 입수합니다만, 그 때에 취득한 사용자에 관한 이하와 같은 정보를 JavaScript 파일에 써 넣었습니다. 이 상태라면, NameTests에 액세스하는 것과 같은 브라우저로 열린 다른 사이트가 해당의 JavaScript 파일에 액세스하고, 그 내용을 보이는 가능성이 있었습니다.

브라우저에는, Cross-origin resource sharing(CORS:오리진간 자원 공유) 정책이 적용되기 때문에, 다른 사이트에 액세스하는 탭이 다른 탭 정보를 용이하게는 볼 수 없도록 하는 구조가 갖추어져 있습니다만, NameTests의 HTTP 헤더를 분석하면 「Access-Control-Allow-Origin」의 항목이 「*」이라고 와일드카드 설정되고 있었기 때문에, 다른 오리진에서도 NameTests의 JavaScript 파일에 액세스할 수 있는 상태이었습니다.

Inti씨는 이 문제에 대해서, Facebook이 운영하는 개인 데이터 부정이용 보고 보장 프로그램 「Data Abuse Bounty」에서 Facebook에 대해 2018년4월22일에 상황을 보고했습니다. 그 후, 4월30일에 Facebook가 답장으로 보내, 문제조사에 착수했다고 보고를 받았습니다. 그 후 5월14일, Inti씨가 문제 진척을 Facebook에 문의하였던 바, 5월22일에 「조사에는 몇개월이 걸릴 전망이다」라는 대답이 있어, Inti씨에게 진척을 할 때마다 알린다라는 대응. 그리고 마침내 6월25일, Inti씨는 NameTests에서 개선이 실행되어, 제삼자가 개인정보를 훔쳐볼 수 있는 문제가 해소된 것을 확인했습니다.

이 사건에서 Inti씨는 Facebook 규정에 근거해 4000달러의 보장금을 받을 수 있는 권리를 획득했습니다. 그러나 Inti씨는 그 전액을 「Freedom of the Press Foundation」에 기부하는 것을 선택했기 때문에, 이쪽도 규정에 근거해서 페이스북은 2배의 8000달러를 재단에 보냈습니다.

Inti씨가 이 건을 공개하면, Facebook은 다음과 같이 문제가 해소된 것을 담은 entry를 공개했습니다. 자신이 통보해서 문제가 해소된 것에 대해서 Inti씨는 기쁨을 느끼고 있지만, 이러한 사건이 1억명이상의 사용자에게 일어난 일에 복잡한 감정을 품고 있습니다.