호텔 체인 누마의 온라인 예약 시스템에서 심각한 보안 결함이 발견되어 Chaos Computer Club(CCC)가 500,000건 이상의 청구서와 고객의 식별 정보에 접근할 수 있었습니다. Chaos Computer Club(CCC) 대변인인 마티아스 마르크스는 베를린의 누마 호텔에 체크인하려고 시도하던 중 이 취약점을 발견했다고 보고했습니다. 고객은 객실에 접근하기 위해 공식 신분증 이미지를 업로드해야 하며, 마티아스 마르크스는 이 점이 문제라고 지적했습니다.
CCC는 청구서에 접근하는 방법이 의문스럽다고 강조하며, 고객의 식별 정보는 절대 이러한 방식으로 처리되어서는 안 된다고 밝혔습니다. 보안 결함에는 이메일로 전송된 청구서 ID가 포함된 URL이 포함되어 있었으며, 이를 조작하여 다른 고객의 청구서에 접근할 수 있었습니다. 청구서 ID는 순차적으로 할당되어 2024년 1월부터 2025년 6월까지의 청구서에 접근할 수 있었습니다. CCC는 이러한 취약점을 비판하며, 이 밀레니엄에는 존재해서는 안 되는 문제라고 언급했습니다.
청구서에는 누마 고객의 이름, 주소 및 숙박 세부 정보와 같은 민감한 정보가 포함되어 있었습니다. 또한 청구서 PDF를 제공하는 웹페이지의 소스 코드에는 고객의 식별 정보에 추가로 접근할 수 있는 보호되지 않은 JSON 객체가 드러났습니다. CCC는 자격을 갖춘 데이터 수집자가 모든 청구서를 쉽게 다운로드하고 포함된 예약 번호를 통해 고객의 식별 정보에 접근할 수 있다고 지적했습니다.
누마는 이 유출 사건에 신속하게 대응하여 취약점을 차단하고 마르크스에게 감사를 표하며 데이터 보호 당국에 통보했습니다. 그들은 데이터 유출이 없었다고 보장하며, 로그 파일에 대한 철저한 검토 결과 이 특정 취약점이 악용되지 않았다고 밝혔습니다. 그러나 이러한 결함은 심각하며, 업계 표준에 따르면 청구서 및 결제 시스템은 추측할 수 없는 무작위 링크를 생성해야 하며, 식별 정보는 암호화하여 저장해야 합니다.
유출 사건에도 불구하고 누마는 고객이 이미 객실 요금을 지불했더라도 식별 정보를 업로드해야 한다는 요구 사항을 유지할 계획입니다. 이 절차는 셀프 체크인을 수행하기 위해 필요하다고 여겨지며, 식별 정보를 업로드하기를 원하지 않는 고객을 위해 비디오 통화를 통한 체크인 대안 옵션도 제공됩니다.
* 이 글은
computerbase.de의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.