Home > 전체기사
스타벅스, 크리덴셜 스터핑 공격 받아...일부 고객 충전금 탈취
  |  입력 : 2019-08-23 11:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
19일 오후 공격...고객이 스타벅스 카드에 충전한 돈 노려
실제 피해자 발생...스타벅스, 피해금액은 전부 복구해주겠다고 밝혀


[보안뉴스 원병철 기자] 스타벅스가 지난 19일(월요일) 오후 크리덴셜 스터핑 공격을 받은 것으로 확인됐다. 범인은 해킹 등으로 기존에 유출됐던 아이디와 패스워드를 입수한 뒤 이를 다시 스타벅스 홈페이지에 대입하는 이른바 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격을 가한 것으로 알려졌다.

[이미지=스타벅스 홈페이지]


스타벅스가 외부 공격을 받은 것은 지난 19일 오후. 스타벅스에 따르면 범인은 홈페이지에 크리덴셜 스터핑 공격을 가한 후 실제로 공격에 성공한 ID의 ‘My 스타벅스 카드’에서 충전된 금액을 옮기는 수법으로 사용자의 돈을 훔쳤다.

스타벅스는 1개 아이디에 충전이 가능한 스타벅스 카드를 여러 장 등록할 수 있으며, 1장의 카드에 최대 55만원까지 충전이 가능하다. 스타벅스 카드는 카드를 구입한 뒤 필요한 만큼 충전할 수 있는데다, 앱에 등록해 사용하거나 카드 단독으로 사용할 수 있기 때문에 선물용으로 많이 사용된다.

특히, 스타벅스는 전용 카드 사용자에게 12잔 구입시 1잔의 음료를 무료로 제공하는 ‘별 적립’ 제도를 운영하고, 일부 매장에서는 ‘현금 없는 매장’을 운용하며 신용카드나 스타벅스 카드 사용을 장려하고 있어 사용자가 많은 편이며, 일부 고객들은 수십만원씩을 충전해놓고 사용하고 있는 것으로 알려졌다. 범인은 이러한 상황을 잘 알고 스타벅스 사용자를 노린 것으로 보인다.

스타벅스 측은 이러한 사실을 확인한 20일(화요일)에 크리덴셜 스터핑 공격이 이뤄진 아이디의 패스워드를 초기화하고, 공격 사실을 피해자에게 메일과 앱 푸시알람으로 알렸다고 밝혔다. 또한, 공격 피해사실을 관계당국에 알리고 수사에 최대한 협조하고 있다고 강조했다. 아울러 실제 금전적 피해를 입은 고객들에게는 100% 피해금액을 복구하겠다고 스타벅스는 밝혔다. 다만 아직 수사가 진행 중인만큼 피해자 수와 피해금액 규모는 밝힐 수 없다고 설명했다.

한편, 스타벅스는 23일 오후 3시경 홈페이지와 앱의 공지사항을 통해 외부 공격사실을 알리고 회원들에게 비밀번호를 변경할 것을 당부했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)