Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Badacze zhackowali brokera Toyoty przez kalkulator ubezpieczeń online

22 stycznia 2024, 09:41 | W biegu | komentarzy 5

TTIBI to duży broker ubezpieczeń na rynku indyjskim, założony przez Toyotę w 2008 roku. Badaczom z Eaton-Works udało się uzyskać dostęp do chmurowego środowiska tej firmy podczas… hackowania innej firmy produkującej motocykle. Jak? 
Wykorzystano partnerstwo Eicher Motors, bo o tej firmie mowa, z brokerami ubezpieczeń, co w branży motoryzacyjnej nie jest niczym wyjątkowym. Badacze znaleźli API do „Premium Calculator”. Była tam funkcjonalność, która umożliwiała wysyłanie wiadomości e-mail.

Informacje znalezione w kodzie źródłowym strony pozwalały – bez uwierzytelniania (nagłówek Authorization: Bearer nie był wymagany) – na wysłanie wiadomości o dowolnym tytule i treści z adresu należącego do Eicher Motors. Do tego, w odpowiedzi na zapytanie, badacz ujrzał logi serwera, które zawierały zakodowane w base64 hasło do konta skrzynki pocztowej użytej do wysyłki wiadomości (adres noreply).

Eicher, zamiast skonfigurować i używać aliasu z jakąś usługą do wysyłki maili, wykorzystywał prawdziwe konto w chmurze Microsoftu. Dzięki niemu można było czytać przesyłane oferty, umowy, zdobyć kody OTP czy linki resetujące hasła do kont klientów. 

Badacze uzyskali też dostęp do firmowego SharePointa i Teamsów korzystając z tych samych poświadczeń. 

Odpowiedź administratorów systemu również pozostawia wiele do życzenia. Po 5 miesiącach badacze wciąż mogli się zalogować na konto, którego poświadczenia zostały skompromitowane. 

Problemy zostały zażegnane z pomocą indyjskiego CERT-u, natomiast TTIBI nie odpowiedziało na żadną wiadomość etycznych hakerów. Zastanawiające jest jeszcze to, czy w użyciu było jakieś monitorowanie w chmurze M$ i jeśli tak, to dlaczego alerty zostały zignorowane.

Lekcje do wyciągnięcia (lub utrwalenia, bo część problemów jest tak kuriozalna, że pewnie ciężko było na nie wpaść):

  1. Funkcja wysyłania powiadomień w postaci e-maili nie powinna być realizowana w całości client side, ponieważ umożliwia to budowę dowolnych wiadomości wysyłanych z prawdziwego adresu e-mail – może to być użyte np. do prowadzenia kampanii phishingowych z adresu posiadającego dobrą reputację.
  2. Requesty do API, zwłaszcza tak kluczowych funkcji, powinny być uwierzytelnione za pomocą tokenów.
  3. Aplikacja nie powinna zwracać zakodowanego hasła do poczty w logach błędów.
  4. Konta (w tym chmurowe) powinny być zabezpieczone przez MFA.
  5. Przechowywanie danych PII, kodów OTP, dokumentów na koncie, do którego dostęp może mieć każdy, to nie jest najlepsze rozwiązanie.
  6. Ignorowanie alertów i maili od badaczy bezpieczeństwa to proszenie się o gruby incydent.

~fc

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Miki

    Wlasnie sledze sprawe tietoevery.DOsc ciekawy temat.
    .W Internecie pojawiły się spekulacje, że dotyczy to wszystkiego w AS25473 i AS34950 i że punktem wejścia może być niezałatany Ivanti Endpoint Manager Mobile https://www.shodan.io/host/193.8.33.135
    ..W tej chwili mówi się, że napastnicy zaszyfrowali platformę hypervisora ​​Tietoevrysa (niewadomo czy Hyper-V, vSphere ani KVM), która hostowała maszyny wirtualne wielu klientów. Zatem napastnicy włamali się do sieci zarządzania Tietoevrys, a nie do sieci klientów…
    news.ycombinator.com/item?id=39066956
    flashback.org/showthread.php?p=87123386&posted=1#p87123386

    Odpowiedz
    • Pan

      MIKI, ALE TO TY DZWONISZ!!! :D

      Odpowiedz
  2. Koza

    Skill issue.

    Odpowiedz
  3. b0mb3r

    Dużo tych zaniedbań, ale te z mailem to błąd świeżaka

    Odpowiedz
  4. Kuba

    Nie kontaktowanie sie z badaczami i ignorowanie incydentów
    To dopiero błąd świeżaka i idioty

    Odpowiedz

Odpowiedz