완벽하게 실행되고 안전한 서비스를 제공하려는 조직의 최선의 노력에도 불구하고 소프트웨어 버그는 발생할 수 있으며 발생할 수 있으며 일부는 다른 것보다 더 심각합니다.


때로는 가장 경험이 많은 보안 팀에서도 이러한 버그를 감지하지 못해 사용자의 디지털 보안을 손상시키고 사이버 공격에 노출 될 수있는 제품을 만들 수 있습니다. 많은 회사들이 사이버 보안 연구원들이 시스템에서 발견되지 않은 취약점을 찾는 데 도움을주기 위해 버그 바운티 프로그램을 설치했습니다..

기본적으로 연구원은 존재하는 모든 취약점을 악용하기 위해 공급 업체 시스템에 (윤리적으로) 해킹합니다. 연구원이 상당한 위험을 제기하는 취약점을 발견하면 발견 된 버그의 심각성에 따라 수백 달러 또는 수십만 달러의 버그 현상금을 수집 할 수 있습니다. 버그 현상금 사냥꾼은 종종 사이버 보안의 불성실 한 영웅으로 행동하여 소비자의 디지털 보안을 보장하는 조직의 책임을 유지합니다..

하지만 조직이 연구원이 발견 한 취약점의 심각성에 대해 사이버 보안 연구원과 의견이 일치하지 않을 경우 어떻게됩니까? 조직이 연구원이 발견 한 사실을 공개적으로 공개하는 것을 금지함으로써 책임을 회피하려고 시도하거나 연구원이 취약점에 대해 공개적으로 침묵하고 있다는 조건에 대해서만 버그 현상금을 지불하기로 동의하면 어떻게됩니까? 이런 일이 발생하면 소비자의 디지털 보안 및 개인 정보 보호에 심각한 위협이 될 수 있습니다.

버그 바운티 프로그램은 소프트웨어를 실행하는 시스템과 소비자가 매일 사용하는 응용 프로그램을 안전하게 유지하고 작동시키는 데 필수적입니다. 사이버 보안 연구원과 윤리적 해커에게 인센티브를 제공하여 취약점을 찾아냅니다. 버그 현상금 사냥꾼이 비밀 유지 계약 (NDA)에 서명하도록 요구하는 것은 잠재적으로 심각한 취약점이 패치되기 전에 공개적으로 노출되고 악용되는 것을 방지하는 중요하고 효과적인 방법이기도합니다..

예를 들어, 연구원이 취약점을 공개적으로 공개하지 못하게하는 NDA 조항은 회사가 결함을 적절히 해결하여 사용자가 다양한 사이버 위협에 노출되도록하는 인센티브를 거의 제공하지 않을 수 있습니다..

보안 연구원과 버그 현상금 사냥꾼은 회사를 사용자의 안전과 보안 유지에 책임을지게하는 훌륭한 일을합니다. 그러나 기업이 보안 책임자와 의문을 제기하기 위해 의심스러운 NDA 전술에 참여할 경우 사용자 보안에 상당한 위험이 따를 수 있습니다.

최근의 주요 데이터 유출 사고와 기술에서 가장 큰 이름을 가진 주요 보안 감독에 비추어 볼 때, 대중은 정보를 신뢰하는 회사로부터 훨씬 더 큰 책임을 져야합니다. 전 세계의 국회의원들이 업계를 단속하기 시작했으며 소비자를 보호하는 동시에 법무 회사가 민감한 데이터를 처리하는 방법에 대해 책임을지는 법안을 작성하고 있습니다. 페이스 북의 마크 주커 버그 (Mark Zuckerberg), 마이크로 소프트 빌 게이츠 (Bill Gates), 애플의 팀 쿡 (Tim Cook)과 같은 업계 최고 경영진들은 더 나은 소비자 프라이버시 보호와 기업에 대한 책임감의 필요성을 인정했습니다. 동시에 소비자는 기업이 개인 데이터를 관리하는 방법에 대한 불신이 점점 커지고 있습니다.

이러한 추세를 고려할 때 Zoom은 화상 회의 응용 프로그램에서 몇 가지 심각한 취약점에 대한 사이버 보안 연구원의 책임있는 공개를 처리하고 있습니다. 3 월 사이버 보안 연구원 Jonathan Leitschuh는 Zoom에게 연락하여 Mac 컴퓨터 용 화상 회의 응용 프로그램에 존재하는 3 가지 주요 보안 취약점을 회사에 알 렸습니다. Leitschuh는 악의적 인 공격자가 사용자 컴퓨터에서 DOS (서비스 거부) 공격을 시작하게하는 버그와 Zoom 응용 프로그램을 제거한 후에도 사용자의 Mac에 로컬 웹 서버가 설치된 버그를 발견했습니다. 악의적 인 타사가 의심하지 않는 Mac 사용자의 마이크와 카메라를 원격으로 자동으로 활성화 할 수있게하는 중대한 경보 취약점.

Leitschuh의 블로그 게시물에 따르면 Zoom은 지속적인 대화 중 취약점의 심각성을 지속적으로 경시했습니다. Leitschuh는 Zoom에게 공개 표준을 진행하기 전에 문제를 해결할 수있는 업계 표준 90 일 창을 제공했습니다. 그는 회사에 영구적 인 수정 작업을 완료하는 동안 카메라 취약점을 일시적으로 패치하기 위해 Zoom에 "빠른 수정"솔루션을 제공했습니다. 90 일 공개 마감일 이전의 회의에서 Zoom은 Leitschuh에게 제안 된 수정안을 제시했습니다. 그러나 연구원은 제안 된 솔루션이 부적절하고 다양한 방법을 통해 쉽게 우회 될 수 있음을 신속하게 지적했습니다..

90 일의 공개 공개 마감일이 끝날 때 Zoom은 임시 "빠른 수정"솔루션을 구현했습니다. Leitschuh는 자신의 블로그 게시물에 다음과 같이 썼습니다.

"궁극적으로 Zoom은보고 된 취약점이 실제로 존재하는지 신속하게 확인하지 못했으며 고객에게 적시에 전달 된 문제를 해결하지 못했습니다. 이 프로필의 조직과 대규모 사용자 기반을 가진 사용자는 공격으로부터 사용자를 보호하는 데보다 적극적이어야합니다."

회사 블로그의 공개 공개에 대한 최초의 응답에서 Zoom은 비디오 취약점의 심각성을 인정하지 않고 "궁극적으로 ... 응용 프로그램 기능을 변경하지 않기로 결정했습니다."(공개 후 상당한 공개 백래시를받은 후에 만) Zoom은 익스플로잇을 가능하게 한 로컬 웹 서버를 완전히 제거하기로 동의했으며, Leitschuh가 Zoom이 책임있는 공개를 해결하기 위해 선택한 방법에 대한 초기 응답과 함께 Zoom은 문제를 심각하게 다루지 않았으며 제대로 해결하는 데 거의 관심이 없음을 보여주었습니다. 그것.

조용히

Zoom은 지나치게 엄격한 NDA에 서명 한 경우에만 회사의 버그 바운티 프로그램의 혜택을받을 수있게함으로써 Leitschuh의 침묵을 사려고 시도했습니다. 라이츠는 그 제안을 거절했다. Zoom은 연구원에게 재정적 보상을 제공했지만“비공개 조건”으로 인해이를 거부했다고 주장했다. Zoom이 언급하지 않은 것은 Leitschuh가 취약점을 적절히 패치 한 후에도 취약점을 공개하지 못했음을 의미하는 특정 용어입니다. 이것은 회사가 중요하지 않은 것으로 기각 한 취약점을 패치하기 위해 Zoom에 인센티브를주지 않았을 것입니다..

NDA는 버그 현상금 프로그램에서 일반적인 관행이지만 연구원의 영구적 인 침묵을 요구하는 것은 돈을 지불하는 것과 유사하며 궁극적으로 연구원에게 이익이되지 않으며 사용자 나 일반인에게도 이익이되지 않습니다. NDA의 역할은 회사가 취약성을 공개하고 사이버 범죄자들에 의해 악용되기 전에 취약성을 해결하고 해결할 수있는 적절한 시간을 제공하는 것이어야합니다. 회사는 취약점을 해결하기 위해 노력하고 있지만, 주로 여론에 입각하지 않고 주로 사용자의 이익을 위해 기밀 유지에 대한 합리적인 기대를 가지고 있습니다. 반면에 연구원들은 금전적 보상뿐만 아니라 그들의 노력에 대한 대중의 인정도 합리적으로 기대합니다. 사용자는 제품을 사용하는 회사가 개인 정보를 보호하기 위해 최선을 다하고 있다고 합리적으로 기대합니다. 마지막으로, 대중은 사이버 보안 위협으로부터 소비자를 보호하기 위해 수행되는 보안 취약점과 수행해야 할 조치 및 소비자가 자신을 보호하기 위해 무엇을 할 수 있는지 알 수있는 합리적인 권리가 있습니다..

충돌 우선 순위

Zoom이이 상황을 처리하는 것보다 더 어려웠을 것입니다. 이 회사는 원활한 사용자 환경을 만드는 데 집중하여 사용자 개인 정보 보호의 중요성을 완전히 잃었습니다. “비디오는 줌 경험의 중심입니다. 자사의 비디오 우선 플랫폼은 전 세계 사용자에게 주요 혜택이며, 고객은 마찰없는 비디오 커뮤니케이션 경험을 위해 줌을 선택한다고 말했습니다.”라고 회사는 답변했습니다. 그러나 Zoom은 사파리 웹 브라우저의 보안 기능을 효과적으로 우회하여 사용자에게 "마찰없는"비디오 환경을 제공하는 Mac 컴퓨터의 백그라운드에 로컬 웹 서버를 설치하는 데 의존했습니다. 해당 Safari 보안 기능을 사용하려면 Mac에서 앱을 실행하기 전에 사용자 확인이 필요합니다. 이에 대한 Zoom의 솔루션은 의도적으로 우회하여 사용자의 개인 정보를 위험에 노출시켜 한두 번의 클릭을 저장하는 것이 었습니다.

공개 된 후 반발을받은 후에야 회사는 의미있는 조치를 취했습니다. 이 회사의 초기 대응은 애플리케이션이 가지고 있던 중대한 취약점에 비추어도 애플리케이션 기능을 변경할 의도가 없었 음을 시사했습니다. 회사는 사용자 보안보다 사용자 경험의 우선 순위를 기꺼이 고려한 것 같습니다. 원활한 사용자 경험은 모든 온라인 응용 프로그램에 의심의 여지없이 유익하지만 보안 및 개인 정보 보호를 희생해서는 안됩니다..

공동 창립자이자 CEO 인 Eric S. Yuan은 회사의 신용에 따라 Zoom이 상황을 제대로 처리하지 못했으며 앞으로 더 나은 성과를 내겠다고 약속했습니다. Yuan은 블로그 게시물에서“우리는 상황을 잘못 판단하고 신속하게 대응하지 못했습니다. 우리는 모든 소유권을 가지고 많은 것을 배웠습니다. 내가 말할 수있는 것은 우리는 사용자 보안을 엄청나게 진지하게 받아들이고 있으며 사용자들이 올바르게 행동 할 것을 진심으로 전념하고 있습니다.”라고 덧붙입니다.“이번에는 현재의 에스컬레이션 프로세스가 명확하지 않았습니다. 우리는 미래의 모든 보안 관련 문제에 대한 루프를 받고 확대하고 종결하는 프로세스를 개선하기위한 조치를 취했습니다.”

"우리는 상황을 잘못 판단하고 충분히 빨리 반응하지 않았습니다 – 그리고 그것은 우리에게 있습니다.

궁극적으로 연구원이 Zoom에 의해 제시된 NDA의 조건에 동의하고 그의 발견을 공개하는 것이 금지 된 현실은 여전히 ​​남아 있지만, 우리는이 취약점에 대해 전혀 들어 본 적이 없었을 것입니다. 더구나,이 회사는이 문제를 해결하지 못했을 것입니다. 수백만 명의 사용자가 심각한 개인 정보 침해에 취약 해졌습니다..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me