포스팅 내용

국내외 보안동향

[해외보안동향] 스타벅스의 자동 충전 기능을 악용한 공격 발생

스타벅스의 자동 충전 기능을 악용한 공격 발생

Hackers exploit Starbucks auto-reload feature to steal from customers


해커들이 스타벅스의 기프트카드 및 모바일 지불 계정의 기프트카드 자동충전 기능을 악용하여 부정 충전을 하고 있었던 것으로 밝혀졌습니다. 스타벅스 앱의 자동 충전 기능은 스타벅스 포인트가 일정 금액 이하로 내려갔을 경우 사전에 등록해 둔 신용카드를 통해 자동으로 충전되는 기능입니다.


해킹할 신용카드의 번호를 알고 있지 않아도 공격할 수 있으며 단 몇 분 만에 수백 달러를 훔쳐낼 수 있습니다. 이는 단순히 스타벅스 카드의 잔액을 모두 사용해버리는 것으로 등록된 신용카드나 은행 계좌에서 돈을 자동으로 충전할 수 있기 때문입니다.


스타벅스의 한 고객은 $34.77상당의 잔액을 도난당하는 피해를 보았습니다. 해커들은 기존에 충전되어 있는 잔액을 모두 사용한 뒤 자동으로 $25가 충전되는 점을 노린 것입니다. 이후 해커는 해당 고객의 자동 충전 금액 기준을 $75로 상향 조정시켰고, 돈이 카드에 충전되자마자 훔쳐 달아났습니다. 이 모든 과정이 단 7분 만에 일어난 것입니다.


이 해킹 사건과 관련하여 스타벅스는 어떠한 세부사항도 공개하지는 않았습니다. 그러나 사기 거래에 대해 지속적으로 모니터링 중이며, 금융 기관들과 협력하여 노력 중이라는 공지를 띄웠습니다. 또한 사기 거래를 제보하는 고객들에게 “이는 사용자들이 다른 사이트의 계정과 비밀번호를 재사용하기 때문에 발생한 것입니다.”라는 의견을 전했습니다. 스타벅스는 등록된 카드의 잔액은 보호되며 만일 사기 거래가 감지될 경우 즉시 스타벅스와 해당 금융기관에 제보할 것을 권장하고 있습니다. 더불어 더욱 안전한 패스워드를 만드는 방법을 사용자들에게 안내하고 있습니다.



참고:

http://www.scmagazine.com/starbucks-customers-report-fraudulent-activity-on-accounts/article/414585/

http://www.symantec.com/connect/blogs/stolen-funds-starbucks-customers-another-reminder-use-unique-passwords



티스토리 방명록 작성
name password homepage