401개 일본 숙박 시설에 머물렀던 고객들 정보 유출돼
일본 프린스호텔 공식 사과...패스트부킹 또한 보안 강화 중
[보안뉴스 문가용 기자] 해커들이 숙소 예약 사이트인 패스트부킹(FastBooking)의 서버 내에 존재하는 웹 애플리케이션 취약점을 익스플로잇 하여 멀웨어를 심고 데이터를 훔쳐냈다. 수백 개 호텔에 투숙하고 있는 사람들의 이름과 이메일 주소, 예약 정보 및 지불카드 데이터 등이 도난당하고 있다고 한다.
[이미지 = iclickart]
일본의 프린스호텔(Prince Hotel) 측은 공식적으로 12만 4천 명이 넘는 고객들의 정보가 패스트부킹의 한국어, 중국어, 영어 웹사이트로부터 도난당했다고 발표했다. 이 세 가지 언어의 패스트부킹 웹사이트 해킹은 6월 15일과 17일 사이에 발생했고, 2017년 5월과 8월 프린스호텔 43개 지역에서 투숙했던 사람들의 정보가 공격자들의 손에 넘어갔다.
프린스호텔의 대변인은 58,003건의 개인정보가 유출됐고, 66,960건의 신용카드 정보가 탈취됐다고 발표했다. 이 둘의 총합이 12만 4천을 살짝 넘는다.
프린스호텔의 회장인 마사히코 코야마는 “불편을 겪게 된 모든 고객들과 관련 공기관 담당자들에게 심심한 사과의 뜻을 전달한다”며 “수사는 물론 앞으로 이러한 일이 발생하지 않게 하기 위해 모든 수단과 방법을 아끼지 않겠다”고 발표했다. 호텔 대변인에 따르면 패스트부킹 또한 이번 사건으로 보안을 더욱 강화하기 위한 절차를 밟고 있으며, 외국어 페이지는 잠시 닫아둔 상태라고 한다. 현재 호텔 예약은 이메일로만 받고 있다.
보안 업체 화이트햇 시큐리티(WhiteHat Security)의 부회장 세투 쿨카르니(Setu Kulkarni)는 “많은 회사들이 수많은 웹 애플리케이션들을 운영하고 있고, 또한 이 애플리케이션들을 아무 데서나 접속할 수 있도록 해두고 있다”며 “이러한 운영 체계는 해커들에게 쉽게 농락당할 위험성을 내포하고 있다”고 설명한다.
“패스트부킹만이 아니라 최근 발생한 수많은 유출 사고들과 작년의 대규모 에퀴팩스 해킹 사건의 공통점은 ‘수정이 가능했던 웹 애플리케이션 취약점을 통해 일이 일어났다는 것’입니다. 취약한 구조인 걸 알고, 앱 역시 취약한 상태인 걸 알고도 당한 것이죠.”
패스트부킹 자체는 프랑스에 본부를 두고 있으며, 호텔과 계약을 맺고 부킹 서비스를 제공한다. 이번에 문제가 된 건 세계 모든 호텔들이 아니라, 아직까지는 패스트부킹과 계약을 맺고 있는 일본 호텔들이다. NHK는 401개의 숙박 시설들이 이번에 당했으며, 총 325,717개의 아이템들이 도난당했다고 보도했다. 그 중 하나가 프린스호텔이며, 이 호텔에서만 12만 4천 건의 정보가 유출된 것.
현재까지 도난당한 데이터를 통한 어뷰징이나 사기 시도가 나타나지는 않았다고 한다.
쿨카르니는 “웹을 통해 제공되는 시스템에서는 API의 사용이 증가하고 있으며, 이 때문에 보안 사고가 자주 발생한다”며 “개발자들에게 안전한 코딩 교육을 시키고 정책적으로 자꾸만 강조해야 한다”고 주장했다.
[국제부 문가용 기자(globoan@boannews.com)]
일본 프린스호텔 공식 사과...패스트부킹 또한 보안 강화 중
[보안뉴스 문가용 기자] 해커들이 숙소 예약 사이트인 패스트부킹(FastBooking)의 서버 내에 존재하는 웹 애플리케이션 취약점을 익스플로잇 하여 멀웨어를 심고 데이터를 훔쳐냈다. 수백 개 호텔에 투숙하고 있는 사람들의 이름과 이메일 주소, 예약 정보 및 지불카드 데이터 등이 도난당하고 있다고 한다.
[이미지 = iclickart]
일본의 프린스호텔(Prince Hotel) 측은 공식적으로 12만 4천 명이 넘는 고객들의 정보가 패스트부킹의 한국어, 중국어, 영어 웹사이트로부터 도난당했다고 발표했다. 이 세 가지 언어의 패스트부킹 웹사이트 해킹은 6월 15일과 17일 사이에 발생했고, 2017년 5월과 8월 프린스호텔 43개 지역에서 투숙했던 사람들의 정보가 공격자들의 손에 넘어갔다.
프린스호텔의 대변인은 58,003건의 개인정보가 유출됐고, 66,960건의 신용카드 정보가 탈취됐다고 발표했다. 이 둘의 총합이 12만 4천을 살짝 넘는다.
프린스호텔의 회장인 마사히코 코야마는 “불편을 겪게 된 모든 고객들과 관련 공기관 담당자들에게 심심한 사과의 뜻을 전달한다”며 “수사는 물론 앞으로 이러한 일이 발생하지 않게 하기 위해 모든 수단과 방법을 아끼지 않겠다”고 발표했다. 호텔 대변인에 따르면 패스트부킹 또한 이번 사건으로 보안을 더욱 강화하기 위한 절차를 밟고 있으며, 외국어 페이지는 잠시 닫아둔 상태라고 한다. 현재 호텔 예약은 이메일로만 받고 있다.
보안 업체 화이트햇 시큐리티(WhiteHat Security)의 부회장 세투 쿨카르니(Setu Kulkarni)는 “많은 회사들이 수많은 웹 애플리케이션들을 운영하고 있고, 또한 이 애플리케이션들을 아무 데서나 접속할 수 있도록 해두고 있다”며 “이러한 운영 체계는 해커들에게 쉽게 농락당할 위험성을 내포하고 있다”고 설명한다.
“패스트부킹만이 아니라 최근 발생한 수많은 유출 사고들과 작년의 대규모 에퀴팩스 해킹 사건의 공통점은 ‘수정이 가능했던 웹 애플리케이션 취약점을 통해 일이 일어났다는 것’입니다. 취약한 구조인 걸 알고, 앱 역시 취약한 상태인 걸 알고도 당한 것이죠.”
패스트부킹 자체는 프랑스에 본부를 두고 있으며, 호텔과 계약을 맺고 부킹 서비스를 제공한다. 이번에 문제가 된 건 세계 모든 호텔들이 아니라, 아직까지는 패스트부킹과 계약을 맺고 있는 일본 호텔들이다. NHK는 401개의 숙박 시설들이 이번에 당했으며, 총 325,717개의 아이템들이 도난당했다고 보도했다. 그 중 하나가 프린스호텔이며, 이 호텔에서만 12만 4천 건의 정보가 유출된 것.
현재까지 도난당한 데이터를 통한 어뷰징이나 사기 시도가 나타나지는 않았다고 한다.
쿨카르니는 “웹을 통해 제공되는 시스템에서는 API의 사용이 증가하고 있으며, 이 때문에 보안 사고가 자주 발생한다”며 “개발자들에게 안전한 코딩 교육을 시키고 정책적으로 자꾸만 강조해야 한다”고 주장했다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
