권한이 없는 이용자가 쪽지를 열람할 수 있었던 취약점에 대한 조치 결과

게시글 주소: https://orbi.kr/0004967457

오르비 회원 여러분,

현재 오르비는, 권한이 없는 이용자가 쪽지를 열람할 수 있었던 취약점에 대해 조사하고 조치하였습니다.

해당 취약점은 모바일 오르비에서 쪽지를 열람하는 딥 링크(deep link)를 변조하여 접속을 시도하면, 특정 쪽지에 대해 열람 권한이 없는 이용자도 쪽지를 열람할 수 있었던 것으로,

10월 23일 목요일 새벽 0시 13분에 보고되어, 같은 날 새벽 1시 16분에 취약점이 차단되었습니다.

문제 상황을 이해하기 쉽게 설명하면 다음과 같습니다.

오르비에서 어떤 이용자가 다른 이용자에게 쪽지를 보내면, 그 쪽지에는 고유 식별번호가 2759080과 같은 식으로 부여됩니다.

그 다음에 어떤 이용자가 다른 이용자에게 (위 쪽지를 보낸 이용자와 같은 사람인지 다른 사람인지와 관계 없이) 쪽지를 보내면, 그 쪽지에는 고유 식별번호가 2759081과 같은 식으로 부여됩니다.

이렇게 오르비에서는 하나의 쪽지가 보내질 때마다 쪽지에 대해 식별번호가 부여됩니다.

그런데 예를 들어 abc.orbi.kr/defg/hijkl/mnop/qrst/2759080 과 같은 식으로 접속을 하면, 그 쪽지는 그 쪽지를 보낸 회원이나 받은 회원만 열람을 할 수 있어야 함에도 불구하고 다른 회원도 열람을 할 수 있었던 것입니다.

이번 취약점이 영향을 줄 수 있었던 범위와 한계는 다음과 같습니다.

1. 주소의 마지막 부분 숫자를 무차별 대입(brute force) 방식으로 바꾸어 나가면 여러 쪽지를 볼 수 있었을 것이나 특정 회원의 쪽지만을 의도적으로 열람할 수는 없었습니다.

2. 쪽지 발신자, 보낸 날짜, 쪽지의 내용은 열람할 수 있었으나, 그 쪽지의 수신인이 누구인지는 알 수 없었습니다. 그래서 두 이용자 간의 쪽지를 통한 대화를 재구성하는 것은 거의 불가능했습니다.

3. 쪽지 발신자, 보낸 날짜, 쪽지 내용을 제외한 다른 개인정보는 열람할 수 없었습니다.

4. 삭제된 쪽지는 열람할 수 없었습니다.

5. 취약점이 오르비 측으로 1:1 보고가 되지 않고, 한 이용자가 어떤 쪽지 하나를 열람할 수 있는 딥 링크를 밤 시간대에 게시판에 공개하는 바람에 여러 이용자들이 의도치 않게 해당 쪽지를 열람하여 취약점 공격을 한 셈이 되었습니다. 다만 쪽지 열람을 시도한 이용자(IP)의 숫자는 중복을 제외하고 1,000명 미만인 것으로 추정됩니다.

6. 소수의 이용자가 여러 개의 쪽지를 열람하려 시도하였습니다. 다만 열람 시각으로 미루어 볼 때 스크립트 등을 통해 기계적으로 열람 내지는 내려받기를 한 것 같지는 않습니다.

새벽 시간대에 문제가 보고되어 대처에 어려움이 있었으나 저희 오르비와 오르비 개발팀은 최대한 빠르게 취약점을 차단하기 위해 최선을 다하였습니다. 하지만 많은 회원 여러분들께서 이번 사건으로 인해 불쾌함을 느끼고, 우려하고 계신 점에 대해 이해하고 있으며, 이렇게 회원 여러분들께 심려를 끼치게 된 점 진심으로 사과드립니다.

저희 오르비와 오르비 개발팀은 현재 사건 전후의 접속 기록을 더욱 꼼꼼하게 분석 중입니다.

추가로 알려드릴 유의미한 조사 결과가 생기면, 회원 여러분들께 알려드리도록 하겠습니다.

끝까지 읽어주셔서 감사합니다.