해당 글은 버그바운티 결과물을 번역 및 수정한 게시물입니다.
**이번 게시글은 Guhan Raja의 바운티 글을 번역한 것으로 페이스북의 third party인 **GIF search engine의 information disclosure 취약점으로 $16,125 의 바운티 상금을 받은 것으로 기록되어 있습니다.****
처음에 화자는 Burp suite를 통해 API Request를 중간에 보면서 iOS를 테스트 해보는 중이었지만 아무 것도 발견하지 못했습니다.
그러던 와중 대학교 친구에게 Messenger App으로 메시지가 도착했고 답장을 하기위해 GIF를 검색했다고 합니다.
이때 자신이 Burp proxy를 사용중이었던 것을 기억하고 burp history를 검색했다고 합니다.
히스토리를 검색한 결과 모든 Tenor GIF request에 access token이 leak 되고 있는 것을 발견했다고 합니다.
**이때 Access Token은 사용자를 대신해 특정 작업을 수행하기위해 사용되는 토큰 또는 키 입니다.**
**또한 이 Access Token으로 비밀번호 없이 사용자의 계정에 접근할 수 있습니다.**
그리고 이것을 페이스 북에 제보하여 상금을 받았다고 합니다.