Home > 전체기사

스타벅스, 크리덴셜 스터핑 공격 받아...일부 고객 충전금 탈취

  |  입력 : 2019-08-23 11:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
19일 오후 공격...고객이 스타벅스 카드에 충전한 돈 노려
실제 피해자 발생...스타벅스, 피해금액은 전부 복구해주겠다고 밝혀


[보안뉴스 원병철 기자] 스타벅스가 지난 19일(월요일) 오후 크리덴셜 스터핑 공격을 받은 것으로 확인됐다. 범인은 해킹 등으로 기존에 유출됐던 아이디와 패스워드를 입수한 뒤 이를 다시 스타벅스 홈페이지에 대입하는 이른바 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격을 가한 것으로 알려졌다.

[이미지=스타벅스 홈페이지]


스타벅스가 외부 공격을 받은 것은 지난 19일 오후. 스타벅스에 따르면 범인은 홈페이지에 크리덴셜 스터핑 공격을 가한 후 실제로 공격에 성공한 ID의 ‘My 스타벅스 카드’에서 충전된 금액을 옮기는 수법으로 사용자의 돈을 훔쳤다.

스타벅스는 1개 아이디에 충전이 가능한 스타벅스 카드를 여러 장 등록할 수 있으며, 1장의 카드에 최대 55만원까지 충전이 가능하다. 스타벅스 카드는 카드를 구입한 뒤 필요한 만큼 충전할 수 있는데다, 앱에 등록해 사용하거나 카드 단독으로 사용할 수 있기 때문에 선물용으로 많이 사용된다.

특히, 스타벅스는 전용 카드 사용자에게 12잔 구입시 1잔의 음료를 무료로 제공하는 ‘별 적립’ 제도를 운영하고, 일부 매장에서는 ‘현금 없는 매장’을 운용하며 신용카드나 스타벅스 카드 사용을 장려하고 있어 사용자가 많은 편이며, 일부 고객들은 수십만원씩을 충전해놓고 사용하고 있는 것으로 알려졌다. 범인은 이러한 상황을 잘 알고 스타벅스 사용자를 노린 것으로 보인다.

스타벅스 측은 이러한 사실을 확인한 20일(화요일)에 크리덴셜 스터핑 공격이 이뤄진 아이디의 패스워드를 초기화하고, 공격 사실을 피해자에게 메일과 앱 푸시알람으로 알렸다고 밝혔다. 또한, 공격 피해사실을 관계당국에 알리고 수사에 최대한 협조하고 있다고 강조했다. 아울러 실제 금전적 피해를 입은 고객들에게는 100% 피해금액을 복구하겠다고 스타벅스는 밝혔다. 다만 아직 수사가 진행 중인만큼 피해자 수와 피해금액 규모는 밝힐 수 없다고 설명했다.

한편, 스타벅스는 23일 오후 3시경 홈페이지와 앱의 공지사항을 통해 외부 공격사실을 알리고 회원들에게 비밀번호를 변경할 것을 당부했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)