404 Media • 54일 전

금욕 앱 Quittr, 수개월간 보안 경고 무시

IMP

7/10

핵심 요약

남성 자위 및 포르노 중독 극복을 돕는 앱 'Quittr'가 구글 파이어베이스 설정 오류로 인해 미성년자를 포함한 사용자의 민감한 개인정보가 외부에 노출되는 심각한 보안 취약점을 안고 있었습니다. 최소 3명의 독립적인 보안 연구원들이 수개월에 걸쳐 취약점 사실과 수정 방법을 알렸으나, 개발 측은 이를 방치했고 언론(404 Media)의 다수의 취재 및 검증 이후에서야 뒤늦게 문제를 해결했습니다.

번역된 본문

최소 3명의 해커가 남성들의 자위 행위를 멈게 돕는 앱인 'Quittr(퀴트르)'에 심각한 보안 문제가 있다고 수개월 전부터 경고했지만, 이 앱의 개발자들은 IT 매체 404 미디어(404 Media)가 여러 차례 논평을 요청한 지 몇 주가 지나서야 이 문제를 해결했습니다.

"저는 창립자들에게 이메일을 보내 취약점을 설명했습니다. 한 개발자가 답장하며 '보안을 개선할 방법을 찾고 있다'고 말했고, 제가 어떻게 이 취약점을 발견했는지 물어봤습니다. 저는 그에게 단계별로 과정을 설명해 주었고, API 키가 클라이언트 측(client-sided)에 있는 것이 파이어베이스(Firebase)에서는 정상적인 일이며, 그들이 단지 보안 규칙(security rules)만 구현하면 된다는 점까지 설명해 주었습니다,"라고 '케이든(Kaeden)'이라는 이름으로 활동하는 독립 보안 연구원은 자신의 개인 블로그에서 밝혔습니다. "그 후 아무런 소식이 없었습니다. 제가 후속 이메일을 보냈지만 응답이 없었습니다. 다시 한번 확인했지만 묵묵부답이었습니다."

저는 다른 독립 보안 연구원으로부터 이 앱의 보안 문제에 대해 듣고 올해 1월에 Quittr의 보안 취약점에 대해 처음으로 글을 썼습니다. 당시에는 개발자들에게 여러 번 연락을 취했음에도 Quittr가 문제를 해결하지 않았기 때문에 앱 이름을 공개하지 않았습니다.

해당 보안 연구원은 Quittr가 모바일 개발 플랫폼인 '구글 파이어베이스(Google Firebase)'를 사용하는 과정에서 설정 오류(misconfiguration)가 있음을 발견했습니다. 이 오류로 인해 기본적으로 누구나 쉽게 스스로 '인증된(authenticated)' 사용자로 만들어 앱의 백엔드 스토리지(사용자 데이터가 저장되는 곳)에 접근할 수 있었습니다. 해당 연구원은 원래 작년 9월에 Quittr에 이 문제를 알렸습니다. Quittr의 창립자 알렉스 슬레이터(Alex Slater)는 문제를 인정하고 연구원에게 감사를 표하며 몇 시간 내로 수정하겠다고 말했습니다. 그러나 연구원은 몇 달이 지나도록 문제가 해결되지 않은 것을 보고 404 미디어에 연락했습니다.

저는 슬레이터와 Quittr 측에 여러 번 연락을 시도했습니다. 슬레이터는 처음에 보안 취약점이 있다는 사실을 부인했지만, 3월 10일 이전 어느 시점에 이 문제를 해결했습니다. 이후 저는 Quittr가 마침내 취약점을 해결한 것을 확인하고 앱 이름을 명시한 또 다른 기사를 게재했습니다.

슬레이터는 최근 뉴욕 매거진(New York Magazine)의 인터뷰 기사에 소개되기도 했는데, 이 기사에서는 Quittr의 성공이 그에게 가져다준 호화로운 라이프스타일, 즉 이색적인 슈퍼카를 몰고 마이애미의 대저택에 거주하는 등의 모습이 상세히 묘사되었습니다. 슬레이터는 자신의 개인 유튜브 채널에도 이러한 라이프스타일에 대한 영상을 공유하고 있습니다.

연구원이 접근할 수 있었던 일부 데이터에는 사용자의 나이, 포르노를 시청하는 빈도, 그리고 포르노 시청 습관에 대한 자필 고백문 등이 포함되어 있었습니다. 해당 데이터에 따르면 많은 사용자가 스스로 미성년자라고 밝혔습니다.

올해 3월, 케이든은 저에게 2025년 7월 3일에 Quittr에 동일한 취약점에 대해 연락한 이메일을 제공했습니다. 케이든은 Quittr에 보낸 이메일에서 "귀하의 파이어베이스(데이터베이스) 설정이 잘못되어 누구나 데이터를 읽고 쓸 수 있습니다. 예를 들어, 가능한 작업 중 하나는 모든 사용자와 그들의 정보를 나열하는 것인데, 이는 이러한 성격을 가진 앱에는 매우 심각한 문제입니다"라고 말했습니다. 케이든은 Quittr에 문제를 해결하는 구체적인 방법까지 알려주었고, 버그 바운티(보상금)를 '매우 감사하게 생각할 것'이라고 말했지만 단 한 푼도 받지 못했습니다.

카이오(Caio)라고 자신을 소개한 Quittr의 한 개발자는 케이든에게 더 많은 정보를 요청하며 책임감 있게 문제를 제보해 준 것에 감사를 표했습니다. 케이든은 이 정보를 제공했지만, 그 후 다시는 연락을 받지 못했습니다.

3월에 Quittr에 관한 제 기사가 게재된 후, 익명을 요구한 또 다른 독립 보안 연구원이 저에게 연락해와 그들 역시 2025년 8월에 Quittr에 유사한 취약점을 알렸다고 밝혔습니다.

결과적으로 404 미디어가 문제가 해결되지 않은 상태에 대해 논평을 요청하기 전까지, 최소 3명의 다른 보안 연구원들이 Quittr 측에 민감한 사용자 데이터를 위험에 빠뜨리고 있다고 경고했던 셈입니다.

저자 소개: 에마누엘 마이베르그(Emanuel Maiberg)는 기술을 형성하는 잘 알려지지 않은 커뮤니티와 프로세스, 말썽꾼들, 그리고 사소한 다툼에 관심이 많습니다. (emanuel@404media.co)

원문 보기

원문 보기 (영어)

At least three people warned Quittr, an app that wants to help men stop masturbating, about serious security issues for months, but the creators of the app didn’t fix them until weeks after 404 Media reached out for comment multiple times. “I emailed the founders and explained the vulnerability. A developer responded, said he was ‘looking into ways to make our security better,’ and asked how I found it. I walked him through it step by step, even explained that the API key being client-sided is normal for Firebase and that they just needed to implement security rules,” an independent researcher who goes by Kaeden, said on her personal blog . “Then nothing. I followed up. No response. I followed up again. Nothing.” I first wrote about Quittr’s security vulnerability in January after hearing about the app’s security problems from a different independent security researcher. At the time, I did not name the app because Quittr did not fix the issue despite reaching out to the developers about it multiple times. That security researcher found that Quittr had a misconfiguration issue in its use of the mobile development platform Google Firebase, which by default makes it easy for anyone to make themselves an “authenticated” user who can access the app’s backend storage where in many instances user data is stored. That researcher originally contacted Quittr about the issue in September. Quittr’s founder, Alex Slater, acknowledged the issue, thanked the researcher, and said he would fix it in a matter of hours. When the researcher saw the issue still wasn’t fixed months later, they contacted 404 Media. I reached out to Slater and Quittr multiple times. Slater initially denied there was a security vulnerability, but then fixed the issue sometime before March 10. After this, I saw Quittr finally fixed the vulnerability and published another story naming the app . Slater was also recently profiled in New York Magazine , which detailed the opulent lifestyle the success of Quittr has afforded them, including driving exotic super cars and living in a Miami mansion. Slater shares videos about his lifestyle on his personal YouTube channel as well. Some of the data the researcher could access included users’ age, how often they said they watched porn, and written confessions about their porn watching habits. Many of the users self-identified as minors, according to the data. In March, Kaeden provided me with emails showing he contacted Quittr about the same vulnerability on July 3, 2025. “Your firebase (Database) is misconfigured its possible to read/write to anything, one of the things its possible to do for example is list all users and their info, which is pretty bad for an app of this nature,” Kaeden said in her email to Quitter. Kaeden also told Quittr exactly how to fix the issue and said that a bug bounty “would be highly appreciated” but she never received one. A Quittr developer who identified as Caio emailed Kaeden asking for more information and thanked her for responsibly disclosing the issue. Kaeden provided that information, but never heard back. Since publishing my story about Quittr in March, yet another independent security researcher, who asked to remain anonymous, contacted me to say they also notified Quittr about a similar vulnerability in August 2025. Altogether, three different security researchers told Quittr it was jeopardizing sensitive user data before 404 Media reached out to the app for comment about the issue not being fixed. About the author Emanuel Maiberg is interested in little known communities and processes that shape technology, troublemakers, and petty beefs. Email him at emanuel@404media.co More from Emanuel Maiberg

보안 취약점 개인정보 유출 파이어베이스 버그 바운티 앱 개발