마이크로소프트 엣지 브라우저가 방문하는 모든 웹사이트를 빙 API 서버에 유출

마이크로소프트 엣지 브라우저의 최신 버전이 사용자가 방문하는 모든 웹사이트의 URL을 빙 API 서버에 유출하고 있어 사용자들의 데이터 프라이버시 우려를 불러일으키고 있다고 더 버지의 보고서에 따르면 전해졌다.

이 문제의 원인은 2022년 1월 마이크로소프트 엣지에 추가된 “크리에이터 팔로우” 기능이다. 이 기능은 사용자가 유튜브에서 좋아하는 콘텐츠 제작자의 새로운 비디오가 게시될 때 이를 따라갈 수 있도록 돕기 위해 설계된 것으로 보인다. 그러나 이 기능의 오작동으로 인해 사용자가 방문하는 모든 URL이나 도메인이 빙 API 엔드포인트로 전송되고 있다.

이 버그는 지난주 “hackermchackface”라는 이름의 레딧 사용자에 의해 처음 발견되었다. 최신 버전의 마이크로소프트 엣지 브라우저가 사용자가 방문하는 거의 모든 웹사이트의 전체 URL을 포함하여 bingapis.com에 요청을 보내는 것으로 보이며, 이는 콘텐츠 제작자와 관련이 없는 웹사이트도 포함된다.

레딧 사용자 hackermchackface는 다음과 같이 썼다:

최신 업데이트 이후 엣지가 모든 방문한 URL을 유출하게 하는 원인은 무엇인가? API는: bingapis.com/api/v7/followweb/isfollowable?

GET 요청에는 탐색하는 모든 페이지의 전체 URL이 포함된다.

이 URL에 대한 참조를 검색해도 결과가 매우 적고, 이 기능에 대한 문서도 전혀 없다. Json 응답은 “FollowableStatus” 유형을 보여주며, 이는 구글 검색 결과가 0개로 나타나는데, 이는 드물다.

확실히 내가 이걸 처음 발견한 것은 아닐 것이다?!

레딧 사용자들이 마이크로소프트 엣지가 URL을 빙 API 서버로 전송하는 이유를 알아내지 못한 반면, 마이크로소프트 MVP이자 스타드락 엔지니어인 라파엘 리베라가 더 버지에 다음과 같은 성명을 제공했다:

마이크로소프트 엣지에는 이제 기본적으로 활성화된 크리에이터 팔로우 기능이 있으며, 이는 사용자가 유튜브, 더 버지, 레딧과 같은 특정 페이지에 있을 때 빙에 알리기 위한 의도로 보인다. 그러나 제대로 작동하지 않는 것 같으며, 대신 사용자가 방문하는 거의 모든 도메인을 빙에 전송하고 있다.

마이크로소프트는 이 문제를 조사하고 해결책을 마련하고 있다. 마이크로소프트의 커뮤니케이션 디렉터인 케이트린 롤스턴은 회사가 이러한 보고서를 인지하고 있으며, 문제를 해결하기 위한 적절한 조치를 취할 것이라고 확인했다.

마이크로소프트가 이를 방지하는 방법에 대한 해결책을 제공하지는 않았지만, 잠재적인 프라이버시 위반을 방지하기 위해 마이크로소프트 엣지에서 “크리에이터 팔로우” 기능을 끄는 것이 강력히 권장된다.

“크리에이터 팔로우” 기능을 비활성화하려면 아래 단계를 따르세요:

2. 엣지 메뉴를 열고 (Alt + F) 설정을 선택합니다.

3. 왼쪽에서 개인정보, 검색 및 서비스를 클릭합니다.

4. 오른쪽 창에서 서비스로 스크롤합니다.

5. 그런 다음 ‘마이크로소프트 엣지에서 크리에이터를 팔로우하라는 제안 표시’ 옵션 옆의 스위치를 끕니다.

이 이야기는 진행 중이므로 더 많은 업데이트를 지켜봐 주세요!