Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향다른 사람의 계정으로 로그인 할 수 있는 Klarna 모바일 앱 버그
작성일 2021-05-28 조회 73

Klarna

 

스웨덴의 Klarna 은행은 모바일 앱 사용자들이 다른 고객의 계정에 로그인하여 저장된 정보를 볼 수 있도록 하는 심각한 문제를 겪었다.

 

이 기술적 문제는 사용자가 트위터에 공유한 동영상에 설명되어 있었다.

 

[그림 1. 트위터 포스팅]

https://twitter.com/KezStew/status/1397845638956605440

 

Klarna는 해당 문제를 인지한 직후 모바일 앱을 오프라인으로 전환하였다.

 

Klarna mobile app disabled

 

[그림 2. 오프라인 전환 메시지]

 

Klarna는 "최근 업데이트로 인해 사용자 인터페이스에 접근할 때 임의의 사용자 데이터가 잘못된 사용자에게 노출되게 했다"고 말했으며 이로 인해 9만 명의 데이터가 노출되는 기술적 문제가 발생했다."

또한 "데이터에 대한 접근은 전적으로 무작위적이었으며 카드나 은행 세부 정보가 포함된 데이터는 전혀 보이지 않았다. 이는 특정 사용자의 데이터에 접근하는 것이 불가능하다는 것을 의미하며, GDPR 표준에 따라 민감하지 않은 데이터만 노출되었다."고 말했다.

 

하지만 실제로는 다른 사람의 계좌에 로그인하면 이름, 휴대폰 번호, 주소, 저장된 은행 계좌, 구매, 저장된 신용 카드 등 민감한 데이터를 볼 수 있었으며, 모바일 앱에 로그인할 때마다 다른 계정에 접속할 수 있었다.

 

[그림 3. Klarna 버그에 대한 사용자 트윗]

 

출처

https://www.bleepingcomputer.com/news/security/klarna-mobile-app-bug-let-users-log-into-other-customers-accounts/

첨부파일 첨부파일이 없습니다.
태그 Klarna