[보안뉴스]써브웨이 홈페이지에 다른 사람 주문 정보 고스란히

내용 요약

써브웨이 홈페이지와 모바일 앱에서 고객 개인정보가 제대로 관리되지 않고 노출되는 심각한 보안 취약점이 발견됐습니다. 다른 고객의 개인정보를 쉽게 열람할 수 있는 상태였으며, 이는 주문 시스템의 허술한 보안 관리 때문인 것으로 밝혀졌습니다. 이와 유사한 사례가 파파존스에서도 발생한 바 있어, 온라인 서비스의 개인정보 보안에 대한 우려가 커지고 있습니다.

핵심 포인트

• 써브웨이 홈페이지 및 앱에서 고객 개인정보 노출 취약점 발견
• 타 고객 개인정보 열람 가능 ⚠️
• 온라인 주문 시스템 보안 허점이 원인
• 파파존스 개인정보 유출 사건과 유사한 사례 발생
• 온라인 서비스 개인정보 보안 강화 필요성 대두

기술 세부 내용

1️⃣ 개인정보 노출 취약점 (Personal Information Exposure Vulnerability)

• 써브웨이 홈페이지와 모바일 앱의 온라인 주문 시스템에서 개인정보가 노출되는 취약점이 발견되었습니다.
• 이 취약점은 다른 사용자의 주문 정보, 이름, 주소, 연락처 등의 개인정보를 허가 없이 열람할 수 있도록 합니다.
• 주문 과정에서 발생하는 시스템의 오류 또는 API(Application Programming Interface)의 부적절한 구현으로 인해 발생한 것으로 추정됩니다.
• 이러한 취약점은 악의적인 사용자에 의해 악용될 경우 개인정보 유출 및 금전적 피해를 야기할 수 있습니다.

2️⃣ 온라인 주문 시스템 보안 허점 (Online Ordering System Security Flaws)

• 써브웨이의 온라인 주문 시스템은 사용자 인증 및 데이터 암호화와 같은 기본적인 보안 조치가 미흡했던 것으로 보입니다.
• 취약점은 세션 관리(Session Management)의 결함, 부적절한 접근 제어(Access Control), 그리고 입력값 검증(Input Validation) 부재 등 다양한 보안 허점으로 인해 발생했을 가능성이 있습니다.
• 개발 단계에서 충분한 보안 테스트(Security Testing)를 거치지 않았거나, 시스템 운영 과정에서 보안 업데이트가 제대로 이루어지지 않았을 가능성이 높습니다.

3️⃣ 파파존스 사례와의 유사성 (Similarity with Papa Johns Case)

• 이번 써브웨이 개인정보 노출 사건은 과거 파파존스에서 발생한 개인정보 유출 사건과 유사한 점이 많습니다.
• 두 사건 모두 온라인 주문 시스템의 보안 취약점을 통해 고객 개인정보가 노출되었다는 공통점이 있습니다.
• 이는 외식업계 전반에 걸쳐 온라인 서비스 보안에 대한 경각심이 부족함을 보여주는 사례입니다.

 

출처: http://www.boannews.com/media/view.asp?idx=137923&kind=&sub_kind=