#버그바운티

슬래시 하나로 AWS API 인증 우회, 1.2만 달러 버그바운티 획득

보안 연구원이 핀테크 기업의 모바일 API를 테스트하던 중 URL 끝에 슬래시(/) 하나를 추가해 AWS API Gateway의 인증을 우회할 수 있는 취약점을 발견했습니다. AWS HTTP API의 탐욕적 경로 매칭(Greedy path matching) 과정에서 경로 재작성(Path rewrite) 시 인증 컨텍스트가 소실되는 설계적 모순이 원인으로, 이를 통해 계좌 정보 탈취 및 무단 이체까지 가능했습니다. 해당 기업은 다음 날 REST API로 전환하고 백엔드에 userId 검증 로직을 추가하여 문제를 신속히 해결했으며, 연구원은 1만 2천 달러의 포상금을 받았습니다.

AI가 만든 가짜 리포트에 버그 바운티 폐지

오픈소스 데이터베이스 기업인 Turso가 데이터 오염 버그에 대해 1,000달러를 지급하던 버그 바운티 프로그램을 폐지했습니다. AI 도구를 악용해 대량의 가짜 버그 리포트와 PR(풀 리퀘스트)이 생성되면서 프로젝트 유지보수자들이 이를 처리하는 데 한계에 부딪혔기 때문입니다. 이 사건은 오픈소스 생태계와 기업의 보안 정책에 AI가 미치는 부작용이 현실화되었음을 보여줍니다.