맥도날드 인도 배달 시스템(API) 보안 취약점 및 악용 사례

맥도날드 API 악용…배달 탈취‧1센트 햄버거 주문 해킹 공격 - 테크레시피

맥도날드 API 악용…배달 탈취‧1센트 햄버거 주문 해킹 공격 - 테크레시피

 

• 사건 개요
  • 맥도날드 인도의 공식 배달 시스템인 맥딜리버리(McDelivery)의 API 결함이 발견됨
  • 이를 통해 메뉴를 1센트(₹1)로 주문하거나, 다른 사람의 배달 주문을 가로채는 등 다양한 해킹 공격 가능성이 밝혀짐
  • 보안 기업 트레이서블AI의 이턴 즈베어가 해당 취약점을 발견하여 보고
• 취약점 유형
  • BOLA(Broken Object Level Authorization): 권한 검증 없이 객체 접근을 허용하는 문제
  • Mass Assignment: 클라이언트에서 객체의 속성 값을 무단으로 변경할 수 있는 문제
• 취약점을 통한 악용 가능 사례
  • 1센트로 메뉴 주문: API 요청의 가격 데이터를 변경하여 주문 금액을 임의로 낮출 수 있음
  • 배달 가로채기: 다른 사용자의 주문 주소를 변경하거나 주문을 탈취 가능
  • 실시간 배달 추적: 배달원의 위치, 차량 번호, 이메일, 프로필 사진 등의 정보를 유출
  • 개인 정보 유출: 사용자 이름, 이메일, 전화번호 등 민감한 정보 노출
  • 허위 피드백 작성: 다른 사용자의 주문에 대한 피드백을 임의로 제출 가능
  • 관리자 데이터 접근: JWT 토큰을 통해 KPI 보고서 등 관리자 데이터에 접근 가능
• 취약점 보고 및 대응
  • 발견 및 보고: 2024년 7월 해당 취약점을 맥도날드 인도에 보고
  • 수정 및 검증: 9월 말 취약점 수정 완료, 이후 재검증으로 문제 해결 확인
  • 보상: 맥도날드 인도는 $240 상당의 아마존 기프트카드를 보상으로 지급
• 맥도날드 인도의 입장
  • "보안 조치를 강화하고 정기적인 감사와 평가를 통해 시스템을 최신 상태로 유지하고 있다"는 입장을 밝힘
  • 그러나 유출된 고객 총수는 공개되지 않음
• 과거 사례
  • 2017년에도 맥딜리버리 앱을 통해 220만 명의 개인정보 유출 사고 발생
• 보안 권고
  • API 보안 강화 필요: 객체 및 속성 수준의 권한 검증을 강화하여 BOLA와 Mass Assignment 문제 방지
  • 정기적인 취약점 점검: 외부 보안 감사와 취약점 테스트를 통해 API와 시스템의 보안을 주기적으로 검토
  • 사용자 데이터 보호: 고객 개인정보의 접근 및 저장 방식 개선, 민감 정보의 암호화
  • 버그 바운티 프로그램 확대: 보안 취약점 발견을 독려하기 위해 체계적인 보상 프로그램 운영 필요
  • 고객 신뢰 회복: 투명한 정보 공개와 사과, 유출된 데이터의 잠재적 악용 방지 조치 강화