Incidente de hackeo a una aseguradora mediante el abuso de una calculadora de primas

 (eaton-works.com)
1 puntos por GN⁺ 2024-01-18 | 1 comentarios | Compartir por WhatsApp

Resumen del incidente de hackeo de la aseguradora Toyota/Eicher Motors

  • El sitio web de la calculadora de primas de Eicher Motors en un subdominio de Toyota Tsusho Insurance Broker India expuso credenciales corporativas de Microsoft Cloud.
  • La API de envío de correos devolvía al cliente registros de envío, y esos registros incluían la contraseña de la cuenta de correo.
  • Con esa contraseña era posible iniciar sesión en la cuenta de correo de Microsoft "noreplyeicher@ttibi.co.in", y esa cuenta no tenía autenticación de dos factores habilitada.
  • La cuenta de correo tenía registro de todo lo enviado a los clientes, lo que incluía unos 657,000 correos (~25 GB) con información de clientes, PDFs de pólizas de seguro, enlaces de restablecimiento de contraseña, OTP y más.
  • También era posible acceder a otros recursos de Microsoft Cloud, incluidos el directorio corporativo, SharePoint y Teams.
  • Toyota Tsusho Insurance Broker India dio de baja la API vulnerable más de 2 meses después del reporte, pero todavía no cambió la contraseña de la cuenta de correo.

Toyota Tsusho Insurance Broker India y Eicher Motors

  • Toyota Tsusho Insurance Broker India ("TTIBI") es una importante corredora de seguros de India fundada en 2008 bajo Toyota Tsusho Insurance Management Corporation de Japón.
  • Eicher Motors es un importante fabricante automotriz de India que produce motocicletas bajo la marca Royal Enfield Motors y vehículos comerciales bajo la marca VE Commercial Vehicles (VECV) en una empresa conjunta con Volvo Group.
  • Ambas compañías mantienen algún tipo de alianza de seguros a través del subdominio dedicado a Eicher en el sitio de TTIBI.

Calculadora de primas

  • Durante el análisis de la app de Android MY EICHER se descubrió una URL que llevaba a la calculadora de primas.
  • Se encontró código que controlaba desde el lado del cliente el mecanismo de envío de correos y, al probar la solicitud a la API, esta devolvió inesperadamente registros de envío de correos junto con un error del servidor.
  • En los registros se encontró una contraseña codificada en base64, lo que derivó en un grave problema de seguridad.

Cuenta de correo

  • La cuenta de correo "noreply" se usaba para enviar correos automatizados a los clientes y, en este caso, conservaba un registro de todo lo enviado a los clientes.
  • A través de la cuenta de correo se podían ver pólizas de seguro, OTP, enlaces de restablecimiento de contraseña y otra información personal/sensible, además de que también era posible acceder a recursos de Microsoft Cloud.

La tormenta perfecta de problemas de seguridad

  • Esta vulnerabilidad ocurrió por 5 desafortunados problemas/errores de seguridad.
    • Problema #1: No crear funciones de envío de correo controladas por el cliente.
    • Problema #2: Falta de autenticación en la API.
    • Problema #3: Filtración en la respuesta de la API.
    • Problema #4: Ausencia de autenticación de dos factores.
    • Problema #5: Problema de retención de correos.

La contraseña todavía no ha sido cambiada

  • TTIBI no cambió la contraseña de la cuenta de correo durante más de 5 meses después de haber reconocido la vulnerabilidad, y todavía era posible iniciar sesión.
  • Se expresa sorpresa por la falta de alertas de Microsoft sobre inicios de sesión anómalos.

Cronología

  • Como TTIBI no estaba incluida en el programa de divulgación de vulnerabilidades de HackerOne de Toyota, la vulnerabilidad fue reportada en su lugar al CERT-In de India.
  • Tras el proceso de reporte, respuesta y verificación entre el 7 de agosto y el 22 de diciembre de 2023, se confirmó que la vulnerabilidad había sido resuelta, y hubo conversaciones sobre una recompensa de bug bounty, pero TTIBI no respondió y el caso se cerró.

Opinión de GN⁺

  • Este incidente subraya la importancia de la seguridad en la nube y la protección de datos dentro de las empresas. Muestra cómo una vulnerabilidad simple en un sitio web puede derivar en una gran amenaza de seguridad.
  • La actitud de una empresa que no resuelve rápidamente los problemas de seguridad puede dañar la confianza en la protección de los datos de los clientes.
  • Este caso recuerda a desarrolladores de software y administradores de TI la necesidad de revisar y reforzar las prácticas de seguridad.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-01-18
Opiniones de Hacker News

  • Problemas culturales y estilo de gestión

    Como persona no india que trabaja en una gran empresa de TI, señala como problema un estilo de gestión que impide que los desarrolladores se realicen profesionalmente o trabajen con iniciativa, y que busca resolver todo al menor costo posible. Comenta que, si estuviera en Estados Unidos, habría renunciado, pero que en India la situación no se lo permite.

  • Falta de formación técnica en la gerencia

    Critica que la mayoría de la gerencia no tiene formación técnica, por lo que no quiere escuchar qué está mal, y que además fomenta un entorno de trabajo aislado en el que los desarrolladores no se comunican entre áreas y solo se concentran en su propio terreno.

  • Presupuesto y problemas de seguridad

    Menciona que incluso en proyectos grandes se discuten costos mínimos, y señala el problema de que el presupuesto del equipo de seguridad suele ser el primero en recortarse.

  • El rol de los desarrolladores y la ausencia de una cultura de innovación

    Presenta una crítica a que los desarrolladores no sean innovadores y trabajen en un entorno parecido a un call center, donde simplemente hacen lo que se les ordena.

  • Seguridad débil de la información financiera

    Comparte una experiencia en la que descubrió vulnerabilidades en la forma en que un concesionario de autos almacenaba información financiera, pero no las reportó por la falta de conciencia sobre los problemas de seguridad.

  • Gestión descuidada de la seguridad en las empresas

    Critica la mala gestión de seguridad en las empresas, como guardar documentos de clientes en cuentas de correo electrónico.

  • Vulnerabilidades de seguridad introducidas intencionalmente por desarrolladores

    Plantea la sospecha de que desarrolladores de otros países podrían crear vulnerabilidades de seguridad de forma intencional para venderlas a gobiernos.

  • Desinterés frente a los problemas de seguridad

    Señala que, aunque TTIBI conoce las vulnerabilidades de seguridad, sigue sin cambiar sus contraseñas.

  • Vulnerabilidad a través de JavaScript del lado del cliente

    Menciona un grave problema de seguridad por una vulnerabilidad descubierta mediante JavaScript del lado del cliente, que permitía acceder a SharePoint y Outlook.

  • Problemas eléctricos en India y filtración de datos

    Comenta que los problemas de suministro eléctrico en India son más graves que las filtraciones de datos, y expresa esperanza en el desarrollo de la infraestructura del país.

  • Problema de no reportar vulnerabilidades de seguridad

    Expresa la opinión de que debería haber responsabilidad legal por no reportar vulnerabilidades de seguridad.

  • Ausencia de monitoreo de correo electrónico

    Señala la falta de monitoreo del correo electrónico y el fracaso para detectar actividades anómalas como consecuencia de ello.

  • Desinterés por los bug bounties

    Critica que TTIBI no responda a preguntas sobre bug bounties y no maneje adecuadamente los problemas de seguridad.