스타벅스 이용자들이 확인해야 할 소식이 전해졌다.
뉴스워커는 13일 취재 결과를 바탕으로 “스타벅스코리아에서 개인정보 도용 및 부정 사용 사건이 발생한 것으로 확인됐다”고 단독으로 보도했다.
보도에 따르면 이는 ‘크리덴셜 스터핑’으로 불리는 해킹 공격에 의한 것으로 추정되며, 일부 이용자들은 이미 앱 카드로 상품이 결제되는 등의 피해를 입은 것으로 파악됐다.
여기서 ‘크리덴셜 스터핑’이란 해커가 미리 확보한 이용자 정보를 다른 계정에 무작위로 대입해 사용자의 계정을 부정 이용하는 공격 방식이다.
특히 스타벅스 앱은 아이디와 비밀번호만 입력하면 별도의 인증 절차 없이 앱 카드에 충전한 금액을 결제할 수 있기에, 공격자는 피해를 입은 고객의 충전금 부정 사용이 용이했던 것으로 판단된다고 매체는 설명했다.
실제로 스타벅스코리아 측은 지난 12일 공식 홈페이지 내 공지사항란에 ‘일부 계정 도용 거래 주의 안내’라는 제목의 게시물을 게재했다.
스타벅스코리아는 “지난 10일 불법 취득한 아이디/패스워드를 무작위로 조합한 후 해외 IP를 통해 당사 앱에 부정 로그인 시도가 있었다. 로그인에 성공한 계정의 충전금 결제를 도용한 사건이 발생했다”며 “당사는 해당 사건 확인 즉시 공격자의 해외 IP를 차단하고 관계 기관에 신고를 완료했다. 고객에게는 비밀번호 재설정 안내 등 추가 조치를 하였으며 일부 피해가 확인된 고객의 충전금은 당사가 전액 보전했다”고 알렸다.
그러면서 “사고의 예방을 위해, 아이디와 비번을 여러 사이트에서 동일하게 사용하시는 고객께서는 주기적으로 변경해 주실 것을 부탁드린다”고 당부했다.
일부 계정 도용 거래 주의 안내
지난 7월 10일 불법 취득한 아이디/패스워드를 무작위로 조합한 후 해외 IP를 통해 당사 앱에 부정 로그인 시도가 있었습니다. 그리고 로그인에 성공한 계정의 충전금 결제를 도용한 사건이 발생하였습니다.
당사는 해당 사건 확인 즉시 공격자의 해외 IP를 차단하고 관계 기관에 신고를 완료하였습니다. 고객에게는 비밀번호 재설정 안내 등 추가 조치를 하였으며 일부 피해가 확인된 고객의 충전금은 당사가 전액 보전하였습니다.
사고의 예방을 위해, 아이디와 비번을 여러 사이트에서 동일하게 사용하시는 고객께서는 주기적으로 변경해 주실 것을 부탁드립니다.
고객님의 불편함과 번거로움에 머리 숙여 사과드립니다.
아울러 재발 방지를 위해 강화된 인증 방안을 추가로 마련하고, 고객님의 개인 정보와 자산을 보호하기 위한 최선의 노력을 다하겠습니다.
