Incidente de invasão a seguradora explorando a calculadora de prêmio

 (eaton-works.com)
1 pontos por GN⁺ 2024-01-18 | 1 comentários | Compartilhar no WhatsApp

Resumo do incidente de invasão envolvendo a seguradora Toyota/Eicher Motors

  • O site da calculadora de prêmio da Eicher Motors, em um subdomínio da Toyota Tsusho Insurance Broker India, expôs credenciais da nuvem corporativa da Microsoft.
  • A API de envio de e-mail retornava logs de envio ao cliente, e esses logs incluíam a senha da conta de e-mail.
  • Usando essa senha, era possível fazer login na conta de e-mail Microsoft "noreplyeicher@ttibi.co.in", e essa conta não tinha autenticação de dois fatores ativada.
  • A conta de e-mail tinha um histórico de tudo o que foi enviado aos clientes, incluindo cerca de 657 mil e-mails (~25 GB) com informações de clientes, PDFs de apólices de seguro, links de redefinição de senha, OTPs etc.
  • Outros recursos da nuvem Microsoft também podiam ser acessados, incluindo o diretório corporativo, SharePoint, Teams e mais.
  • Mesmo mais de 2 meses após o relato, a Toyota Tsusho Insurance Broker India derrubou a API vulnerável, mas ainda não havia alterado a senha da conta de e-mail.

Toyota Tsusho Insurance Broker India e Eicher Motors

  • A Toyota Tsusho Insurance Broker India ("TTIBI") é uma importante corretora de seguros da Índia, fundada em 2008 sob a Toyota Tsusho Insurance Management Corporation, do Japão.
  • A Eicher Motors é uma importante fabricante de veículos da Índia, produzindo motocicletas sob a marca Royal Enfield Motors e veículos comerciais sob a marca VE Commercial Vehicles (VECV), em joint venture com o Volvo Group.
  • As duas empresas mantêm algum tipo de parceria em seguros por meio de um subdomínio dedicado à Eicher no site da TTIBI.

Calculadora de prêmio

  • Durante a análise do app Android MY EICHER, foi encontrada uma URL que levava à calculadora de prêmio.
  • Foi encontrado um código que controlava, no lado do cliente, o mecanismo de envio de e-mails; ao testar a requisição da API, o retorno foi, de forma inesperada, um log de envio de e-mail junto com um erro de servidor.
  • Nos logs, foi possível encontrar uma senha codificada em base64, o que levou a um grave problema de segurança.

Conta de e-mail

  • A conta de e-mail "noreply" era usada para enviar e-mails automatizados aos clientes e, neste caso, mantinha o histórico de tudo o que havia sido enviado a eles.
  • Pela conta de e-mail, era possível ver apólices de seguro, OTPs, links de redefinição de senha e outros dados pessoais/sensíveis, além de acessar recursos da nuvem Microsoft.

A tempestade perfeita de problemas de segurança

  • Essa vulnerabilidade ocorreu por causa de 5 problemas/erros de segurança infelizes.
    • Problema #1: Não criar uma funcionalidade de envio de e-mail controlada pelo cliente.
    • Problema #2: Falta de autenticação na API.
    • Problema #3: Vazamento na resposta da API.
    • Problema #4: Ausência de autenticação de dois fatores.
    • Problema #5: Problema de retenção de e-mails.

A senha ainda não foi alterada

  • Mesmo mais de 5 meses após tomar conhecimento da vulnerabilidade, a TTIBI não havia alterado a senha da conta de e-mail, e o login ainda era possível.
  • O autor demonstrou surpresa por não ter havido alerta da Microsoft sobre logins anormais.

Linha do tempo

  • Como a TTIBI não estava incluída no programa de divulgação de vulnerabilidades da Toyota no HackerOne, a vulnerabilidade foi reportada ao CERT-In da Índia.
  • Após o processo de relato, resposta e confirmação entre 7 de agosto e 22 de dezembro de 2023, foi confirmado que a vulnerabilidade havia sido corrigida, e houve discussão sobre uma recompensa de bug bounty, mas a TTIBI não respondeu e o caso foi encerrado.

Opinião do GN⁺

  • Este incidente reforça a importância da segurança em nuvem corporativa e da proteção de dados. Ele mostra como uma vulnerabilidade simples em um site pode levar a uma grande ameaça de segurança.
  • A postura de empresas que não corrigem rapidamente problemas de segurança pode prejudicar a confiança na proteção dos dados dos clientes.
  • Este caso relembra desenvolvedores de software e administradores de TI da necessidade de revisar e fortalecer suas práticas de segurança.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-01-18
Comentários do Hacker News

  • Problemas culturais e estilo de gestão

    Como não indiano trabalhando em uma grande empresa de TI, levanta problemas sobre um estilo de gestão que impede os desenvolvedores de buscar realização profissional ou trabalhar de forma proativa, e que tenta fazer tudo pelo menor custo. Diz que, se estivesse nos EUA, teria saído da empresa, mas aponta que na Índia a situação não permite isso com facilidade.

  • Falta de formação técnica da gerência

    Critica o fato de que a maior parte da gerência não tem base técnica, não quer ouvir o que está errado e cria um ambiente de trabalho isolado em que os desenvolvedores não se comunicam entre áreas diferentes e ficam focados apenas no próprio escopo.

  • Orçamento e problemas de segurança

    Menciona casos em que até em projetos grandes há discussão por custos irrelevantes, e aponta que o orçamento da equipe de segurança é o primeiro a ser cortado.

  • Papel dos desenvolvedores e ausência de cultura de inovação

    Faz uma crítica ao fato de que os desenvolvedores não são incentivados a inovar e trabalham em um ambiente semelhante a um call center, apenas executando o que lhes é mandado.

  • Segurança frágil de informações financeiras

    Compartilha a experiência de ter descoberto no passado uma vulnerabilidade na forma como uma concessionária de automóveis armazenava informações financeiras, mas não a reportou por falta de conscientização sobre questões de segurança.

  • Gestão negligente de segurança nas empresas

    Critica a má gestão das empresas em segurança, como o armazenamento descuidado de documentos de clientes em contas de e-mail.

  • Brechas de segurança criadas intencionalmente por desenvolvedores

    Levanta a suspeita de que desenvolvedores de outros países possam criar falhas de segurança intencionalmente para vendê-las ao governo.

  • Indiferença em relação a problemas de segurança

    Aponta o problema de a TTIBI ainda não ter trocado a senha mesmo sabendo da vulnerabilidade de segurança.

  • Vulnerabilidade por meio de JavaScript do lado do cliente

    Menciona um grave problema de segurança em que uma vulnerabilidade descoberta por meio de JavaScript client-side permitia acesso ao SharePoint e ao Outlook.

  • Problemas de energia na Índia e vazamento de dados

    Diz que os problemas de energia na Índia são ainda mais graves do que vazamentos de dados e expressa expectativa de melhora na infraestrutura do país.

  • Problema de não reportar vulnerabilidades de segurança

    Defende a responsabilização legal pela prática de não reportar vulnerabilidades de segurança.

  • Ausência de monitoramento de e-mails

    Aponta a falta de monitoramento de e-mails e a falha em detectar atividades anormais por causa disso.

  • Desinteresse por bug bounty

    Critica a postura da TTIBI por não responder perguntas sobre bug bounty e por não tratar adequadamente os problemas de segurança.