Badacze zhackowali brokera Toyoty przez kalkulator ubezpieczeń online

TTIBI to duży broker ubezpieczeń na rynku indyjskim, założony przez Toyotę w 2008 roku. Badaczom z Eaton-Works udało się uzyskać dostęp do chmurowego środowiska tej firmy podczas… hackowania innej firmy produkującej motocykle. Jak? 
Wykorzystano partnerstwo Eicher Motors, bo o tej firmie mowa, z brokerami ubezpieczeń, co w branży motoryzacyjnej nie jest niczym wyjątkowym. Badacze znaleźli API do „Premium Calculator”. Była tam funkcjonalność, która umożliwiała wysyłanie wiadomości e-mail.

Informacje znalezione w kodzie źródłowym strony pozwalały – bez uwierzytelniania (nagłówek Authorization: Bearer nie był wymagany) – na wysłanie wiadomości o dowolnym tytule i treści z adresu należącego do Eicher Motors. Do tego, w odpowiedzi na zapytanie, badacz ujrzał logi serwera, które zawierały zakodowane w base64 hasło do konta skrzynki pocztowej użytej do wysyłki wiadomości (adres noreply).

Eicher, zamiast skonfigurować i używać aliasu z jakąś usługą do wysyłki maili, wykorzystywał prawdziwe konto w chmurze Microsoftu. Dzięki niemu można było czytać przesyłane oferty, umowy, zdobyć kody OTP czy linki resetujące hasła do kont klientów. 

Badacze uzyskali też dostęp do firmowego SharePointa i Teamsów korzystając z tych samych poświadczeń. 

Odpowiedź administratorów systemu również pozostawia wiele do życzenia. Po 5 miesiącach badacze wciąż mogli się zalogować na konto, którego poświadczenia zostały skompromitowane. 

Problemy zostały zażegnane z pomocą indyjskiego CERT-u, natomiast TTIBI nie odpowiedziało na żadną wiadomość etycznych hakerów. Zastanawiające jest jeszcze to, czy w użyciu było jakieś monitorowanie w chmurze M$ i jeśli tak, to dlaczego alerty zostały zignorowane.

Lekcje do wyciągnięcia (lub utrwalenia, bo część problemów jest tak kuriozalna, że pewnie ciężko było na nie wpaść):

1. Funkcja wysyłania powiadomień w postaci e-maili nie powinna być realizowana w całości client side, ponieważ umożliwia to budowę dowolnych wiadomości wysyłanych z prawdziwego adresu e-mail – może to być użyte np. do prowadzenia kampanii phishingowych z adresu posiadającego dobrą reputację.
2. Requesty do API, zwłaszcza tak kluczowych funkcji, powinny być uwierzytelnione za pomocą tokenów.
3. Aplikacja nie powinna zwracać zakodowanego hasła do poczty w logach błędów.
4. Konta (w tym chmurowe) powinny być zabezpieczone przez MFA.
5. Przechowywanie danych PII, kodów OTP, dokumentów na koncie, do którego dostęp może mieć każdy, to nie jest najlepsze rozwiązanie.
6. Ignorowanie alertów i maili od badaczy bezpieczeństwa to proszenie się o gruby incydent.

~fc