다양한 항공사·호텔 리워드 포인트 거래 플랫폼, 개인정보 및 관리자 설정 액세스 가능한 취약점 발견돼

요약 : 보안 외신 핵리드에 의하면 인포섹(InfoSec)의 샘 커리(Sam Curry)팀이 세계적인 플랫폼 Points.com을 해킹하는 데 성공했다고 전했다. Points.com은 다양한 항공사 및 호텔 리워드 프로그램의 백엔드 역할을 하는 플랫폼으로, 사용자는 리워드 포인트 거래 및 교환이 가능하다. 샘 커리팀의 이안 캐롤(Ian Carroll), 셔브함 샤(Shubham Shah) 등은 몇 달에 걸쳐 다섯 가지의 보안 취약점을 확인했다. 이는 고객의 개인정보에 해당하는 이름, 주소, 이메일, 전화번호 및 거래 내역 같은 민감 데이터까지 무단 접근이 가능한 것으로 밝혀졌다. 또한, 만약 공격자들이 해킹에 성공한다면 Points.com의 로열티 프로그램까지 조작 가능해 리워드 포인트 탈취 및 전송도 가능하다고 전했다. 현재 Points.com은 해당 취약점을 수정해 위협 요소를 모두 제거한 상황이다.


[사진=gettyimagesbank]

배경 : 샘 커리 팀이 발견한 취약점들은 인증되지 않은 HTTP 경로 우회 버그로 고객 주문 기록을 포함한 내부 API 액세스 제공이 가능했다. 이를 통해 신용카드 번호부터 고객 인증 토큰까지 다양한 정보를 볼 수 있는 것은 물론, 사용자의 리워드 번호와 성(Last name)을 가지고 있다면 인증 토큰도 생성할 수 있다. 또한, 해당 웹 관리 사이트의 ‘Flask 세션 비밀’과 관련된 취약성으로 관리 기능에 무단으로 액세스할 수 있었다. 이 웹사이트는 안전한 패치 작업을 위해 오프라인으로 전환된 상태다.

말말말 : “Points.com의 취약점들이 리워드 포인트의 이전을 용이하게 할 수 있다는 게 가장 크게 우려되는 점입니다. 또한, 포인트 발급이나 리워드 프로그램의 다양한 관리 작업도 실행할 수 있었습니다. 우리는 해당 취약점 보고서를 바로 공유했고 Points.com은 1시간 이내에 신속하게 처리해 훌륭한 대응 면모를 보여줬습니다.” -샘 커리-
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>