1. 대충 카톡으로 링크하나 보내서 클릭하면 계정을 훔칠 수 있는 취약점을 독일인이 발견함.
2. 독일인은 카카오톡이 운영중인 취약점 포상 제도에 취약점을 제보함
3. 한국인이 아니라 포상 불가 ㅅㄱ
요약
-
카카오톡에서 원클릭 (= 카카오톡에서 링크만 누르면 카카오톡 계정이 털리는) 취약점 발견되었고, 간단하고 초보적인 취약점입니다.
-
카카오는 큰 IT 회사답게 "버그바운티" (= 취약점 제보자에게 보상 제공) 프로그램을 운영하지만, 취약점 제보자에게 "한국인에게만 줌" 통보 (참고: 취약점 제보자는 독일인). 이것은 물론 저런 프로그램을 의미 없게 만들고, 이상한 차별로서 다른 IT 회사들의 프로그램 없는 정책입니다. 이로 인해 국제 보안 연구자들이 카카오 취약점을 발견시 카카오에 제보하지 않고 해커들에게 팔 가능성이 높다는 지적에 카카오측 묵묵부답.
-
중요한 인프라의 치명적 취약점임에도 불구하고 CVE (취약점 식별 번호, IT 전세계 보편적인 표준)를 발급받지 않겠다고 응답. 사 실상 은폐 이외에 그럴 이유가 없고 취약점 제보자가 설명을 요청하니 카카오측 설명하지 않음 ("회사 정책")
여윽시 우리기업 신토불이 카카오다
외화 반출 원천 차단 함.
출처 : https://stulle123.github.io/posts/kakaotalk-account-takeover/
2차 출처 : https://www.reddit.com/r/hanguk/comments/1dor0ed/카카오톡_또_뚫렸어요_링크_누르면_계정이_털리는_취약점_발견_제보자_외국인이라서_보상_x/?utm_source=share&utm_medium=web3x&utm_name=web3xcss&utm_term=1&utm_content=share_button
카카오와 대화내역 :
https://github.com/stulle123/kakaotalk_analysis/blob/main/report/bug_bounty_correspondence.pdf
제목 | 글쓴이 | 추천 수 | 날짜 |
---|---|---|---|
ㅆㄷ) 츤츤거리는 악역영애가 너무 좋은 manhwa 21 | 6월9일이생일임 | 18 | 45 분 전 |
싱글벙글 트럼프 당선 후 표정..jpg 15 | 병어어엉신 | 33 | 46 분 전 |
(자작,스압)6호전차 티거가 세상에 나오게 된 이야기 20 | 국수쟁이 | 19 | 46 분 전 |
아재 유튜버들 특징 34 | 프로상승한나스닥 | 32 | 46 분 전 |
ㅇㅎ)개드립갔던 그 야겜 근황 13 | 즈큥조큥 | 20 | 46 분 전 |
혐오 표현에 대해 논쟁하는 오 vs 킹 18 | 파인애플오이민트냉채 | 29 | 49 분 전 |
ㅇㅎ) 소개팅 호불호 의상 21 | sufjan | 22 | 1 시간 전 |
안영미 돌잔치 논란 65 | 도봉도봉 | 33 | 1 시간 전 |
최근 밝혀진 원피스 대박 떡밥 46 | 멍멍몬 | 33 | 1 시간 전 |
생각보다 흥미진진한 러닝머신 레이싱 27 | 엄복동 | 36 | 1 시간 전 |
수정) 시청역 인근 주민인데 지금까지 나온거 도대로 사고 추... 16 | NewJeans다니엘 | 36 | 1 시간 전 |
총을 대충 쏘면? 26 | 엄복동 | 42 | 2 시간 전 |
보행자 위험 앞으로 더 심각해지는 이유 49 | 동네북 | 63 | 2 시간 전 |
식객 허영만도 처음 본 희귀 성씨 81 | 엄복동 | 52 | 2 시간 전 |
어느 개붕이의 그럴싸한 추측 37 | 날조와선동 | 34 | 3 시간 전 |
훌쩍훌쩍 러시아군이 항복 잘 안하는 이유..jpg 31 | 병어어엉신 | 46 | 3 시간 전 |
현재 대한민국 요약.jpg 28 | Altius | 83 | 3 시간 전 |
하리보에서 한 10년전 논란된 제품 19 | 날조와선동 | 46 | 3 시간 전 |
1박 1100만원 호텔 33 | 붕따기 | 46 | 3 시간 전 |
넥슨 먹여살리는 중국던파 매출 근황 33 | 니인생족망 | 48 | 3 시간 전 |
비상금$€£¥₩
카카오 병신된거 전국민이 다아는건데 뭐
탁상
이제 전세계가 알겠네
산마르코
이상하면치과가야지
설마 모든 카톡 내부에서 나가는 링크에 로그인 토큰을 붙이는건 아니겠지??? 그게 말이 될리가 없잖아
SDR
대체제가 별로 없다 ㅠㅠ
텔레그램은 주변에 쓰는 사람도 없고 쓰는법도 모르고 이미지도 이상하고
라인은 주변에 한명 쓰는데, 내가 쓰는 법 모르고
그외에는 메신저 뭐 있는지 몰라 ㅋㅋ
스카이폴
도대체 이 텔레그램 이미지 않좋음^^도르는 어디서 나오는거야
여자들도 텔레그램 다 알아
찍스
n번방으로 이미지 박살났지
무선마우스
아는거랑 이미지 안좋은거랑 전혀 다른데
년후에개드립접음
철구 아는 사람 많은데 이미지 안좋잖아 ㅋㅋ
오하이오
이미지 안 좋은 거 맞지 않나?
똘똘맨
마약거래하고 야동보는애들이나 텔레그램쓰지
jhyun99
여초과 다니는데 다..그런걸로 알더라
시시문
난 텔레그렘 가입해있었는데 n번방때 친구엄마가 나 가입한거보고 이상한애 아니냐 했다더라
카이스렌
다들 안다는게 이미지 좋은건 아니지...
SSS급
엔번방 신천지 가 다 조져놨음 국내는.
여행가고싶어요
다들 알게 된 이유가 그런거밖에 없잖아
후루룩냉모밀
이미지 안좋은거 맞음
초ㅣ초
ㅋㅋㅋㅋㅋㅋㅋ
sufjan
그래서 개발자는 바운티 헌터하느니, 범죄에 악용해서 돈버는게 낫다로 흑화함.
뚝스딱스
왓츠앱, 시그널, 텔레그램, 메신저 등 버그 바운티 외국인이라고 못받는 경우 없었는데 ㅋㅋㅋㅋ 진짜 대단하네
돌로레스
카카오는 진짜 병신임. 직원이 친구인데 진짜 살면서 만난 병신 카카오에서 다 봤다고 할 정도로.
wegido
친구 개발자임? 그래도 개발자중엔 카카오면 탑티어아니가..
야칠특수종
카카오 붙으면 다 뭔가 2~20%부족함
wegido
그래도 개발자면 톱티어임
줍줍
역시나 오픈소스에는 가장 적대적인 길을 가네 ㅋㅋ
우리나라 it의 운명은 그냥 내수 원툴인듯
멜론쉬폰케이크
바나나그래버
에미이징 ㅋㅋㅋㅋㅋㅋ 진짜 저딴게 이 나라 대표 it 기업이라는게 존나 치욕스럽다 제발 하루 빨리 쳐망했으면 좋겠네
건물주아들고무백
뉴진스럽네요ㅠㅠ
편안하고싶다
ㅈ소기업이네 그냥
킹그누
내수원툴 거머리 회사라 나라 늙어가며 같이 망하긴 하것지 ㅋㅋ
OpenGL47
저딴게 IT 기업ㅋㅋㅋㅋ
항만가이
나라가 거대한 좆소라는 말은 저새끼들을 보면 바로 이해 가능함 저런놈들이 대기업 이지랄 하고 있으니 ㅋㅋㅋ
쑨킴
난 사진이랑 동영상이 올린 순서대로 게시되었으면 좋겠다, 항상 용량이 작은 녀석이 순서 상관없이 먼저 게시된다, 라인은 순서대로 올리는 게 가능하니 참고해서 개선해 달라고 한 적이 있었음.
그랬더니 고객센터 하는 말이, 자기네도 순서대로 업로드되는데 무슨 말이냐, 못 믿겠으니 증명하는 사진을 보내 봐라였음.
업로드하는 장면을 동영상으로 캡처해서 보내라는 건데, 일단 대응 방식부터가 너어~무 별로여서 기가 찼던 기억이 있네.
키로
지금도 그래? 난 그런적 없었던것같은데
부마루불
순서대로 나오던데..?
carpediem
묶어서 보내기 해바
호이스
다중 선택할때 번호붙고 그 순서대로 올라가는데 무슨 헛소리를 하는거야. 까더라도 좀 제대로 까자
마시케따
나도 pc로 사진이나 자료 보낼때 그럴때 있더라. 그 때 보내는 순서 이상하면 다시 선택하면 제대로 가짐
쑨킴
오오
해 볼게
고맙다능👍
방탄소년단
저딴 기업에서 만든 게 선점효과로 국민 메신저 된 거 ㄹㅇ 열받긴 해… 아 그게 딱 국민 수준에 맞나…? 뭐 그런 것 같기도 하고
초시공무적여고생
좆카오니까 납득
나다싶으면나와라
저 토큰을 비번에 넣으면 되는겨?
Voo
멍청한건지 비루한건지...
그 논리대로라면 외국인이 해킹하면 무죄인건가? 한국인 아니니까
상종못할 잡것들이라는건 확실히 알겠네 ㅋㅋ
북두신켄
진짜 카카오는 한국사업계에 기생충 맞다
허약체질
카카오는 진짜 병신같네. 한결같아.
unidentified
카카오 대표 계정 털려서 수십억 수백억 증발해도 나몰라라해라 ㅋㅋㅋ 좆병신 좆카오
ㄴㅓㄱㅔㅇㅣ
대표 계정 털리면 없었던 일로 될 듯 ㅋㅋ
ㄴㅓㄱㅔㅇㅣ
이슈 보니까 카카오 스토어? 커머스였나 여기로 리다이렉팅할 때 토큰 유출되는 거 같네
개의레시피
텔레그램 안쓰고 카카오톡 쓰는 수준만 봐도 한국이란 이런 국민성을 지녔다고 설명 가능함
싼디스크
상상이상으로 병신기업이었네