페이스북이 이용자 계정을 해킹할 수 있는 방법을 제보한 인도 해커에게 1만5000달러 포상금을 지급했다.
8일(현지시각) 외신에 따르면 인도 e커머스업체 플립카트 보안엔지니어 아난드 프라카슈는 페이스북 계정을 해킹하는 방법을 공개했다. 이 개발자는 취약점 공개 전에 페이스북에 미리 알려 보상프로그램에 따라 1만5000달러 보상금을 수령했다고 밝혔다.
해킹 방법은 간단했다. 일반적으로 페이스북 계정 암호를 잊어버렸을 때 웹사이트에 이메일 주소와 전화번호를 입력해 재설정을 요청할 수 있다. 그러면 페이스북은 암호를 재설정할 수 있도록 여섯 자리 임시 로그인 핀번호를 입력한 이메일 주소 또는 전화번호로 전송한다.
아난드 프라카슈는 페이스북 웹사이트에서 임시 여섯 자리 PIN번호를 추측해 넣어봤다. 하지만 10~12회 시도 후 계정은 차단됐다. 이같은 방법을 응용 프로그램을 테스트하는 개발자가 사용하는 페이스북 베타사이트에서 동일하게 실행했다. 베타사이트는 페이스북 사이트와 달리 최대 시도횟수가 없다. 가능한 모든 숫자 조합을 입력해 PIN번호를 알아낼 수 있었다. 페이스북 사이트도 베타 사이트와 동일한 아이디와 패스워드를 사용하기 때문에 페이스북 계정을 해킹한 것과 같은 효과를 거뒀다.
아난드 프라카슈는 이 취약점을 페이스북에 알렸고 페이스북은 이 버그를 바로 수정했다. 페이스북은 취약점 제보 댓가로 1만5000달러를 지급했다.
페이스북 대변인은 “버그 보상프로그램은 우리가 발견하기 전에 결함을 찾아줄 수 있다는 점에서 매우 소중하다”며 “이번 제보를 인정하고 보상한 것에 대해 기쁘게 생각한다”고 말했다.
권상희기자 shkwon@etnews.com
