세븐일레븐 일본 고객, 7pay 모바일 앱 결함으로 총 50만 달러 피해 입어

7-Eleven Japanese customers lose $500,000 due to mobile app flaw

해커가 7pay 앱 계정을 하이잭한 후 불법 요금을 청구해 세븐일레븐 일본의 고객 약 900명이 총 5,500만 엔(약 51만 달러)를 잃은 것으로 나타났습니다.

이 사건은 세븐일레븐 일본 측이 지난 7월 1일 론칭한 7pay 모바일 지불 앱의 설계상 발생하는 엄청난 보안 취약점 때문입니다.

7pay 모바일 앱은 고객이 세븐일레븐 카운터에 도착하면 폰 화면에 바코드를 보여주고, 구매 제품은 고객의 7pay 앱 또는 해당 계정에 저장된 고객의 신용 또는 직불 카드로 청구되도록 설계되었습니다.

이 앱에는 믿을 수 없는 패스워드 리셋 기능이 설계되어 있는데, 이를 통해 누구나 다른 사람의 계정에 패스워드 재설정을 요청할 수 있습니다.

만약 해커가 패스워드 재설정을 요청하면, 패스워드 재설정 링크는 실제 계정 사용자의 이메일이 아닌 요청한 해커의 이메일로 전송되었습니다.

해커는 7pay 사용자의 이메일 주소, 생년월일, 전화번호만 알면 이 취약점을 이용해 공격할 수 있었습니다. 

비밀번호 리셋 섹션의 추가 필드로 인해 공격자들은 앱의 코드를 파헤치거나 HTTP 요청을 변조하지 않아도 패스워드 리셋 링크를 해커가 제어하는 타사 이메일 주소로 보낼 수 있었습니다.

게다가, 사용자가 생년월일을 입력하지 않았을 경우 이 앱은 디폴트로 해당 부분을 2019년 1월 1일로 설정해 공격을 더욱 쉽도록 했습니다.

과거 발생한 유출 사건 다수를 통해 일본 사용자들의 많은 데이터를 얻을 수 있었기 때문에, 해커는 이를 모아 공격을 자동화 시킬 수 있었습니다.

세븐 일레븐, 해킹 피해 입은 7pay 사용자들에게 보상 약속해

세븐일레븐 사용자들은 7pay 앱 론칭 후 하루 뒤, 서비스를 사용하지 못하게 된 것에 불평하기 시작했습니다.

세븐일레븐 일본 측은 하루가 더 지난 후 대응했으며 7월 3일 7pay 서비스를 중지시켰습니다.

보도 자료에 따르면, 이 회사는 지난 며칠간 사후 분석을 통해 2일 동안 해커가 900개의 7pay 계정에 침투해 5,500만 엔(약 6억 원 상당)에 달하는 부정 청구를 했음을 인정했습니다.

회사는 이 사건에 피해를 입은 모든 사용자들에게 피해 보상을 할 것이라고 약속했습니다.

<이미지 출처: https://www.sej.co.jp/company/important/20190703.html>

금일 오전, 현지 언론은 도쿄 경찰이 다른 사람의 7pay 계정을 이용하여 담배를 구매하려 시도한 20대 중국인 남성 2명을 체포했다고 보도했습니다. 

이 두 명이 해당 7pay 공격의 배후에 있는지는 아직까지 밝혀지지 않았습니다.

출처:

https://www.zdnet.com/article/7-eleven-japanese-customers-lose-500000-due-to-mobile-app-flaw/

https://news.yahoo.co.jp/byline/mikamiyoh/20190704-00132766/