맥도날드 API 악용…배달 탈취‧1센트 햄버거 주문 해킹 공격 - 테크레시피
맥도날드 API 악용…배달 탈취‧1센트 햄버거 주문 해킹 공격 - 테크레시피
맥도날드의 공식 배달 시스템인 맥딜리버리 취약점을 이용해 임의 메뉴를 1센트로 주문하거나 다른 사람 배달 주문을 가로챌 수 있다는 사실이 밝혀졌다. 보안 기업 트레이서블AI(Traceable AI) 보
techrecipe.co.kr
- 사건 개요
- 맥도날드 인도의 공식 배달 시스템인 맥딜리버리(McDelivery)의 API 결함이 발견됨
- 이를 통해 메뉴를 1센트(₹1)로 주문하거나, 다른 사람의 배달 주문을 가로채는 등 다양한 해킹 공격 가능성이 밝혀짐
- 보안 기업 트레이서블AI의 이턴 즈베어가 해당 취약점을 발견하여 보고
- 취약점 유형
- BOLA(Broken Object Level Authorization): 권한 검증 없이 객체 접근을 허용하는 문제
- Mass Assignment: 클라이언트에서 객체의 속성 값을 무단으로 변경할 수 있는 문제
- 취약점을 통한 악용 가능 사례
- 1센트로 메뉴 주문: API 요청의 가격 데이터를 변경하여 주문 금액을 임의로 낮출 수 있음
- 배달 가로채기: 다른 사용자의 주문 주소를 변경하거나 주문을 탈취 가능
- 실시간 배달 추적: 배달원의 위치, 차량 번호, 이메일, 프로필 사진 등의 정보를 유출
- 개인 정보 유출: 사용자 이름, 이메일, 전화번호 등 민감한 정보 노출
- 허위 피드백 작성: 다른 사용자의 주문에 대한 피드백을 임의로 제출 가능
- 관리자 데이터 접근: JWT 토큰을 통해 KPI 보고서 등 관리자 데이터에 접근 가능
- 취약점 보고 및 대응
- 발견 및 보고: 2024년 7월 해당 취약점을 맥도날드 인도에 보고
- 수정 및 검증: 9월 말 취약점 수정 완료, 이후 재검증으로 문제 해결 확인
- 보상: 맥도날드 인도는 $240 상당의 아마존 기프트카드를 보상으로 지급
- 맥도날드 인도의 입장
- "보안 조치를 강화하고 정기적인 감사와 평가를 통해 시스템을 최신 상태로 유지하고 있다"는 입장을 밝힘
- 그러나 유출된 고객 총수는 공개되지 않음
- 과거 사례
- 2017년에도 맥딜리버리 앱을 통해 220만 명의 개인정보 유출 사고 발생
- 보안 권고
- API 보안 강화 필요: 객체 및 속성 수준의 권한 검증을 강화하여 BOLA와 Mass Assignment 문제 방지
- 정기적인 취약점 점검: 외부 보안 감사와 취약점 테스트를 통해 API와 시스템의 보안을 주기적으로 검토
- 사용자 데이터 보호: 고객 개인정보의 접근 및 저장 방식 개선, 민감 정보의 암호화
- 버그 바운티 프로그램 확대: 보안 취약점 발견을 독려하기 위해 체계적인 보상 프로그램 운영 필요
- 고객 신뢰 회복: 투명한 정보 공개와 사과, 유출된 데이터의 잠재적 악용 방지 조치 강화
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 이스트시큐리티, 2024년 보안이슈 회고 및 2025년 보안위협 전망 TOP 5 (0) | 2024.12.29 |
|---|---|
| 북한 해커 집단의 일본 가상자산 거래소 공격과 피해 (1) | 2024.12.29 |
| 스티비의 개인정보 유출 및 서비스 오류 사태: 보안과 사용자 신뢰 문제 (0) | 2024.12.29 |
| KERIS, AI디지털교과서 개발 참여 교직원 개인정보 유출 사건 (0) | 2024.12.29 |
| 일본항공(Japan Airlines), 사이버 공격으로 연말 항공편 지연 (1) | 2024.12.29 |