미 대규모 약국 체인인 Walgreens, 사용자 민감 정보 유출

US Drugstore Giant Walgreens Leaked Users' Sensitive Info

미국의 대규모 약국 체인인 Walgreens가 지난 주말 버그로 인해 모바일 앱 사용자 중 일부가 다른 사용자의 민감 정보에 접근할 수 있었다고 밝혔습니다.

Walgreens는 CVS Health 다음으로 미국에서 두 번째로 큰 약국 체인으로 50개 주에서 약국 9,277곳을 운영하며 230,000명의 직원을 고용하고 있습니다.

PII와 PHI, 실수로 유출 돼

회사가 이 사고에 영향을 받은 고객들에게 보낸 데이터 유출 사고 통지 이메일에 따르면, 데이터 유출 사고는 Walgreens 모바일 앱 내 보안 메시지가 무단으로 공개되어 발생한 것으로 나타났습니다.

이 버그로 인해 2020년 1월 9일부터 1월 15일 사이에 “소수의 일부 고객”이 다른 앱 사용자의 건강 관련 정보가 포함된 개인 메시지를 열람할 수 있었습니다.

Walgreens는 영향을 받은 고객이 의도치 않게 다른 이의 민감 정보에 접근하여 성명, 처방전 번호, 약 이름, 매장 번호, 배송 주소 등을 열람했을 수 있었다고 밝혔습니다.

하지만 이 사고로 “사회 보장 번호(SSN)나 은행 계좌 정보 등 어떠한 금융 정보도 유출되지 않았다”고 밝혔습니다.

모바일 앱 버그, 현재는 수정 돼

Walgreens는 메일을 통해 아래와 같이 밝혔습니다.

“2020년 1월 15일, Walgreens 모바일 앱의 개인 보안 메시징 기능에서 버그를 발견했습니다.”

“조사 결과 내부 애플리케이션 에러로 인해 다른 고객들이 데이터베이스에 저장된 Walgreens의 개인 메시지를 확인할 수 있었던 것으로 나타났습니다.”

“Walgreens에서는 사고를 발견한 직후 메시지 열람 기능을 임시로 비활성화 해 추가 유출을 막았으며 문제 해결을 위한 작업을 실행했습니다.”

“향후 변경 사항 발생 시에는 추가 테스트를 통해 고객의 개인 정보에 영향을 미치지 않는지 확인할 예정입니다.”

회사는 어떤 앱에서 오류가 발견되었는지 밝히지는 않았습니다. 현재 Walgreens의 iOS 앱에는 250만개의 리뷰가 등록되어 있으며, 안드로이드 앱은 천만 회 이상 설치된 것으로 나타났습니다.

Walgreens는 고객들에게 처방전 및 의료 기록을 모니터링하고, 데이터 유출 통지서의 끝 부분에 표시된 정보 보호를 위한 조치를 취할 것을 당부했습니다.

출처 : 

https://www.bleepingcomputer.com/news/security/us-drugstore-giant-walgreens-leaked-users-sensitive-info/