สรุปเหตุการณ์แฮ็กบริษัทประกัน Toyota/Eicher Motors
- เว็บไซต์เครื่องคำนวณเบี้ยประกันของ Eicher Motors บนซับโดเมนของ Toyota Tsusho Insurance Broker India เปิดเผยข้อมูลรับรอง Microsoft Enterprise Cloud
- API สำหรับส่งอีเมลส่งคืนล็อกการส่งให้กับไคลเอนต์ และในล็อกดังกล่าวมีรหัสผ่านของบัญชีอีเมลรวมอยู่ด้วย
- สามารถใช้รหัสผ่านดังกล่าวเข้าสู่ระบบบัญชีอีเมล Microsoft "noreplyeicher@ttibi.co.in" ได้ และบัญชีนี้ไม่ได้เปิดใช้การยืนยันตัวตนแบบสองปัจจัย
- บัญชีอีเมลนี้มีบันทึกของทุกสิ่งที่ส่งถึงลูกค้า ซึ่งรวมถึงอีเมลประมาณ 657,000 ฉบับ (~25 GB) ที่มีข้อมูลลูกค้า, PDF กรมธรรม์ประกัน, ลิงก์รีเซ็ตรหัสผ่าน, OTP เป็นต้น
- ทรัพยากรอื่น ๆ ใน Microsoft Cloud ก็สามารถเข้าถึงได้เช่นกัน รวมถึงไดเรกทอรีองค์กร, SharePoint, Teams เป็นต้น
- Toyota Tsusho Insurance Broker India ปิด API ที่มีช่องโหว่หลังจากได้รับรายงานไปนานกว่า 2 เดือน แต่ยังคงไม่ได้เปลี่ยนรหัสผ่านของบัญชีอีเมล
Toyota Tsusho Insurance Broker India และ Eicher Motors
- Toyota Tsusho Insurance Broker India ("TTIBI") เป็นบริษัทนายหน้าประกันภัยชั้นนำของอินเดียที่ก่อตั้งขึ้นในปี 2008 ภายใต้ Toyota Tsusho Insurance Management Corporation ของญี่ปุ่น
- Eicher Motors เป็นผู้ผลิตยานยนต์รายใหญ่ของอินเดีย ผลิตรถจักรยานยนต์ภายใต้แบรนด์ Royal Enfield Motors และรถเพื่อการพาณิชย์ภายใต้แบรนด์ VE Commercial Vehicles (VECV) ซึ่งเป็นบริษัทร่วมทุนกับ Volvo Group
- ทั้งสองบริษัทมีความร่วมมือด้านประกันภัยบางรูปแบบผ่านซับโดเมนเฉพาะของ Eicher บนเว็บไซต์ TTIBI
เครื่องคำนวณเบี้ยประกัน
- ระหว่างการวิเคราะห์แอป Android MY EICHER ได้พบ URL ที่เชื่อมไปยังเครื่องคำนวณเบี้ยประกัน
- พบโค้ดที่ควบคุมกลไกการส่งอีเมลจากฝั่งไคลเอนต์ และเมื่อทดลองส่งคำขอ API ก็พบว่าแตกต่างจากที่คาดไว้ เพราะมีการส่งคืนล็อกการส่งอีเมลพร้อมข้อผิดพลาดของเซิร์ฟเวอร์
- พบรหัสผ่านที่เข้ารหัสแบบ base64 ในล็อก ซึ่งนำไปสู่ปัญหาด้านความปลอดภัยร้ายแรง
บัญชีอีเมล
- บัญชีอีเมล "noreply" ถูกใช้เพื่อส่งอีเมลอัตโนมัติให้ลูกค้า และในกรณีนี้ยังมีประวัติของทุกสิ่งที่ส่งถึงลูกค้าอยู่ด้วย
- ผ่านบัญชีอีเมลนี้สามารถดูข้อมูลส่วนบุคคล/ข้อมูลอ่อนไหว เช่น กรมธรรม์ประกัน, OTP, ลิงก์รีเซ็ตรหัสผ่าน เป็นต้น และยังเข้าถึงทรัพยากรบน Microsoft Cloud ได้อีกด้วย
พายุสมบูรณ์แบบของปัญหาความปลอดภัย
- ช่องโหว่นี้เกิดจากปัญหา/ความผิดพลาดด้านความปลอดภัยที่โชคร้าย 5 ประการ
- ปัญหา #1: ไม่ควรสร้างฟังก์ชันส่งอีเมลที่ถูกควบคุมโดยไคลเอนต์
- ปัญหา #2: ไม่มีการยืนยันตัวตนของ API
- ปัญหา #3: การรั่วไหลของการตอบกลับจาก API
- ปัญหา #4: ไม่มีการยืนยันตัวตนแบบสองปัจจัย
- ปัญหา #5: ปัญหาการเก็บรักษาอีเมล
รหัสผ่านยังคงไม่ถูกเปลี่ยน
- TTIBI ยังไม่ได้เปลี่ยนรหัสผ่านของบัญชีอีเมลแม้ผ่านไปกว่า 5 เดือนหลังจากรับรู้ช่องโหว่ และยังคงสามารถเข้าสู่ระบบได้
- มีการแสดงความประหลาดใจที่ไม่มีการแจ้งเตือนจาก Microsoft เกี่ยวกับการเข้าสู่ระบบผิดปกติ
ไทม์ไลน์
- เนื่องจาก TTIBI ไม่ได้อยู่ในโปรแกรมเปิดเผยช่องโหว่ของ Toyota บน HackerOne จึงมีการรายงานช่องโหว่ไปยัง CERT-In ของอินเดียแทน
- มีการรายงาน การตอบกลับ และการยืนยันตั้งแต่วันที่ 7 สิงหาคม 2023 ถึง 22 ธันวาคม ว่าช่องโหว่ได้รับการแก้ไขแล้ว และมีการพูดคุยเรื่องรางวัลบั๊กบาวน์ตี แต่ TTIBI ไม่ตอบกลับ จึงปิดกรณีนี้ลง
ความเห็นของ GN⁺
- เหตุการณ์นี้ตอกย้ำความสำคัญของความปลอดภัยบนคลาวด์และการปกป้องข้อมูลขององค์กร โดยแสดงให้เห็นว่าช่องโหว่เล็ก ๆ บนเว็บไซต์สามารถลุกลามเป็นภัยคุกคามด้านความปลอดภัยขนาดใหญ่ได้
- ท่าทีของบริษัทที่ไม่เร่งแก้ไขปัญหาความปลอดภัยอาจบั่นทอนความเชื่อมั่นในการปกป้องข้อมูลลูกค้า
- กรณีนี้เตือนให้นักพัฒนาซอฟต์แวร์และผู้ดูแลระบบไอทีทบทวนและเสริมความเข้มแข็งให้กับแนวปฏิบัติด้านความปลอดภัย
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ปัญหาทางวัฒนธรรมและรูปแบบการบริหาร
ผู้บริหารขาดพื้นฐานด้านเทคนิค
ปัญหาเรื่องงบประมาณและความปลอดภัย
บทบาทของนักพัฒนาและการขาดวัฒนธรรมนวัตกรรม
ความเปราะบางของการปกป้องข้อมูลทางการเงิน
การจัดการความปลอดภัยอย่างหละหลวมขององค์กร
ช่องโหว่ความปลอดภัยที่นักพัฒนาจงใจสร้าง
ความเพิกเฉยต่อปัญหาความปลอดภัย
ช่องโหว่ผ่าน client-side JavaScript
ปัญหาไฟฟ้าในอินเดียและข้อมูลรั่วไหล
ปัญหาการไม่รายงานช่องโหว่ความปลอดภัย
การขาดการเฝ้าติดตามอีเมล
ความไม่ใส่ใจต่อ bug bounty