1억 명 사용자가 가입된 온라인 데이팅 서비스 범블, API 버그 있어
버그 익스플로잇 하니 유료 서비스 가입되고 사용자 민감 정보에 접근

[보안뉴스 문가용 기자] 온라인 데이팅 서비스 범블(Bumble)에서 사용자 민감 정보가 대량으로 유출됐다. 보안 전문가 산자나 사르다(Sanjana Sarda)가 발견한 것으로, 이번 사건은 API 취약점들에 기인한다. 사르다는 이 API 취약점들을 익스플로잇 해 범블의 유료 서비스도 공짜로 이용하고 다른 사용자의 개인정보에도 접근할 수 있다는 사실을 확인해 범블 측에 알렸다. 약 1억 명이 이 사건에 영향을 받은 것으로 알려져 있다.


사르다는 “이 취약점들은 찾아내기가 무척 쉽다”며 “서비스 개설자 입장에서 좀 더 꼼꼼하게 기본 확인 사항만 검사했어도 없었을 문제”라고 주장했다. “취약점을 처음 발견하는 데 걸린 시간은 딱 이틀이었습니다. 그리고 다시 이틀 정도만에 개념증명용 익스플로잇을 개발했고요. API 취약점이라는 것 자체가 널리 알려지지 않아서 그렇지, 현재 IT 인프라에서 API는 꽤나 위험할 수 있는 요소입니다.”

사르다가 한 건 범블 API에 대한 리버스 엔지니어링이었다. 이를 통해 서버가 확인하지 않은 행동들을 처리하는 엔드포인트가 존재하고 있음을 알아냈다. 즉 유료 서비스 이용자들에게만 제한된 서비스를 이용할 방법이 존재한다는 뜻이었다. 확인을 해 보니 일부 유료 사용자들처럼 ‘상대에게 관심이 있다’는 표현을 무료 사용자인 사르다도 무한정으로 할 수 있었다고 한다.

그것만이 아니었다. 사르다는 server_get_user 엔드포인트에 접근해 범블 사용자 전체의 목록을 확인하는 데에도 성공했다. 이를 통해 사용자들의 페이스북 데이터와 ‘소원’ 데이터를 확보할 수도 있었다. 즉 민감할 수 있는 프로파일 정보 및 성적 취향을 암시할 수 있는 정보까지도 취득할 수 있음을 발견한 것이다. 범블 프로파일에는 정치적 성향, 별자리, 교육 수준, 키, 몸무게 등의 정보가 포함되어 있다. 뿐만 아니라 범블의 모바일 앱도 설치되어 있는지, 그리고 공격자로부터 얼마나 먼 거리에 있는지도 확인이 가능했다.

사르다는 “특정 사용자를 구체적으로 표적 삼을 수 있게 해 주는 수준의 프라이버시 침해 사건”이라고 주장하며 “공격 표적의 위치까지도 간단하게 파악할 수 있는 위험한 위협”이라고 결론을 내렸다. 더불어 성적 취향까지 원치 않게 공개된다면 여러 가지로 피해를 입을 수 있다는 것도 지적했다.

사르다는 이 모든 내용을 범블 측에만 알렸다. 얼른 취약점을 해결하라는 것이었다. 하지만 225일이 지나도록 범블 측에서는 아무런 답장이 없었다. 그래서 연구 내용을 공개할 수밖에 없었다고 한다. 범블은 해커원을 통해 버그바운티를 진행하고 취약점 제보를 받는데, 사르다 측이 ‘공개’를 언급하고 나서야 답장을 보냈다. 그것도 해커원이 “범블 측은 취약점 공개를 원치 않는다”고 대신 보낸 서신 뿐이었다.

그 후 해커원이 앞장서서 범블의 취약점을 해결하고 위협 요소들을 완화시키려고 했다. 하지만 아직 문제가 다 해결되지는 않았다고 한다. 현재로서는 사용자의 위치를 공격자에게 알려 주는 부분은 더 이상 작동하지 않는다. 그러나 페이스북 정보에 접근하는 건 여전히 가능하다. 지금도 문제를 해결하는 중인 것 같다고 사르다는 설명한다.

범블은 해커원을 통해 사르다에 500달러의 상금을 제공했다. 하지만 사르다는 거절했다. “저희가 제보한 목적은 범블이 모든 문제를 완전히 해결하는 데 도움을 주기 위한 것이었습니다. 돈이 목적이었다면 처음부터 해커원에 노크를 했겠죠. 아직 문제가 다 해결되지도 않았고, 그러므로 저희의 목적이 달성되지도 않은 상태에서 보상을 받을 수는 없었습니다.”

3줄 요약
1. 유명 온라인 데이팅 사이트 범블, API 버그로 사용자 정보 노출.
2. 발견한 보안 전문가에게 200일 넘게 무응답.
3. 아직도 문제 일부만 해결된 상태. 최초 발견자는 상금도 거절.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>