Hack bei einem Versicherer durch Missbrauch eines Prämienrechners

 (eaton-works.com)
1 Punkte von GN⁺ 2024-01-18 | 1 Kommentare | Auf WhatsApp teilen

Zusammenfassung des Hacks bei den Versicherern Toyota/Eicher Motors

  • Auf einer Eicher-Motors-Prämienrechner-Website auf einer Subdomain von Toyota Tsusho Insurance Broker India wurden Zugangsdaten für die Microsoft-Unternehmens-Cloud offengelegt.
  • Eine E-Mail-Versand-API gab Versandprotokolle an Clients zurück; diese Protokolle enthielten das Passwort des E-Mail-Kontos.
  • Mit diesem Passwort war ein Login in das Microsoft-E-Mail-Konto "noreplyeicher@ttibi.co.in" möglich; für dieses Konto war keine Zwei-Faktor-Authentifizierung eingerichtet.
  • Das E-Mail-Konto enthielt Aufzeichnungen über alle an Kunden gesendeten Nachrichten, darunter rund 657.000 E-Mails (~25 GB) mit Kundeninformationen, Versicherungs-Policen als PDF, Links zum Zurücksetzen von Passwörtern, OTPs usw.
  • Auch andere Ressourcen in der Microsoft-Cloud waren zugänglich, darunter das Unternehmensverzeichnis, SharePoint, Teams usw.
  • Toyota Tsusho Insurance Broker India schaltete die verwundbare API zwar mehr als zwei Monate nach der Meldung ab, änderte aber weiterhin nicht das Passwort des E-Mail-Kontos.

Toyota Tsusho Insurance Broker India und Eicher Motors

  • Toyota Tsusho Insurance Broker India ("TTIBI") ist ein 2008 gegründeter führender Versicherungsmakler in Indien und gehört zur japanischen Toyota Tsusho Insurance Management Corporation.
  • Eicher Motors ist ein führender indischer Fahrzeughersteller, der Motorräder unter der Marke Royal Enfield Motors sowie Nutzfahrzeuge unter der Marke VE Commercial Vehicles (VECV) in einem Joint Venture mit der Volvo Group produziert.
  • Die beiden Unternehmen unterhalten offenbar eine Art Versicherungspartnerschaft über eine Eicher-spezifische Subdomain auf der TTIBI-Website.

Der Prämienrechner

  • Bei der Analyse der Android-App MY EICHER wurde eine URL entdeckt, die zu einem Prämienrechner führte.
  • Dabei wurde Code gefunden, der den E-Mail-Versandmechanismus clientseitig steuerte. Ein Test der API-Anfrage lieferte unerwartet zusammen mit einem Serverfehler auch ein Versandprotokoll zurück.
  • Im Protokoll konnte ein base64-codiertes Passwort gefunden werden, was zu einem schwerwiegenden Sicherheitsproblem führte.

Das E-Mail-Konto

  • Das "noreply"-E-Mail-Konto wurde für automatisierte E-Mails an Kunden verwendet und enthielt in diesem Fall Aufzeichnungen über alles, was an Kunden gesendet worden war.
  • Über das E-Mail-Konto waren Versicherungs-Policen, OTPs, Links zum Zurücksetzen von Passwörtern und andere persönliche bzw. sensible Informationen einsehbar; außerdem war Zugriff auf Microsoft-Cloud-Ressourcen möglich.

Ein perfekter Sturm von Sicherheitsproblemen

  • Diese Schwachstelle entstand durch fünf unglückliche Sicherheitsprobleme bzw. Fehler.
    • Problem #1: Keine clientgesteuerte E-Mail-Versandfunktion bauen.
    • Problem #2: Fehlende API-Authentifizierung.
    • Problem #3: Offenlegung von API-Antworten.
    • Problem #4: Fehlende Zwei-Faktor-Authentifizierung.
    • Problem #5: Probleme bei der E-Mail-Aufbewahrung.

Das Passwort wurde immer noch nicht geändert

  • TTIBI hatte das Passwort des E-Mail-Kontos auch mehr als fünf Monate nach Kenntnis der Schwachstelle nicht geändert; ein Login war weiterhin möglich.
  • Es wurde Verwunderung darüber geäußert, dass es keine Warnung von Microsoft zu ungewöhnlichen Anmeldungen gegeben hatte.

Zeitleiste

  • Da TTIBI nicht in Toyotas HackerOne-Programm zur Offenlegung von Schwachstellen enthalten war, wurde die Schwachstelle stattdessen an CERT-In in Indien gemeldet.
  • Nach Meldungen, Reaktionen und Bestätigungen vom 7. August 2023 bis zum 22. Dezember wurde verifiziert, dass die Schwachstelle behoben war. Es gab Gespräche über eine Bug-Bounty-Belohnung, doch TTIBI reagierte nicht, sodass der Fall geschlossen wurde.

Meinung von GN⁺

  • Dieser Vorfall unterstreicht die Bedeutung von Cloud-Sicherheit und Datenschutz in Unternehmen. Er zeigt, dass eine einfache Schwachstelle auf einer Website zu einer großen Sicherheitsbedrohung werden kann.
  • Die Haltung von Unternehmen, Sicherheitsprobleme nicht schnell zu beheben, kann das Vertrauen in den Schutz von Kundendaten beschädigen.
  • Dieser Fall erinnert Softwareentwickler und IT-Administratoren daran, Sicherheitspraktiken zu überprüfen und zu stärken.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-01-18
Hacker-News-Kommentare

  • Kulturelle Probleme und Managementstil

    Als Nicht-Inder, der bei einem großen IT-Konzern arbeitet, weist der Kommentator auf einen Managementstil hin, der Entwickler daran hindert, sich selbst zu verwirklichen oder eigenverantwortlich zu arbeiten, und stattdessen auf billige Arbeitsabwicklung setzt. In den USA hätte er das Unternehmen verlassen, merkt aber an, dass dies in Indien nicht so einfach sei.

  • Mangelnder technischer Hintergrund des Managements

    Kritisiert wird, dass die meisten Führungskräfte keinen technischen Hintergrund haben, daher nichts über Missstände hören wollen und eine isolierte Arbeitsumgebung schaffen, in der Entwickler nicht bereichsübergreifend kommunizieren, sondern sich nur auf ihr eigenes Gebiet konzentrieren.

  • Budget- und Sicherheitsprobleme

    Es wird erwähnt, dass selbst bei großen Projekten über geringe Kosten gestritten wird, und darauf hingewiesen, dass das Budget des Sicherheitsteams als Erstes gekürzt wird.

  • Rolle der Entwickler und fehlende Innovationskultur

    Kritisiert wird, dass Entwickler nicht innovativ arbeiten, sondern in einer callcenterähnlichen Umgebung nur Anweisungen ausführen.

  • Schwache Absicherung von Finanzdaten

    Es wird eine frühere Erfahrung geteilt, bei der Schwachstellen in der Speicherung von Finanzinformationen bei einem Autohändler entdeckt wurden, diese aber wegen mangelnden Problembewusstseins für Sicherheit nicht gemeldet wurden.

  • Nachlässiges Sicherheitsmanagement in Unternehmen

    Kritisiert wird das mangelhafte Management von Unternehmen in Bezug auf Sicherheit, etwa wenn Kundendokumente in E-Mail-Konten gespeichert werden.

  • Absichtlich eingebaute Sicherheitslücken durch Entwickler

    Es wird der Verdacht geäußert, dass Entwickler in anderen Ländern absichtlich Sicherheitslücken einbauen könnten, um sie an Regierungen zu verkaufen.

  • Gleichgültigkeit gegenüber Sicherheitsproblemen

    Es wird darauf hingewiesen, dass TTIBI trotz Kenntnis von Sicherheitslücken seine Passwörter noch immer nicht geändert hat.

  • Schwachstelle über clientseitiges JavaScript

    Erwähnt wird ein schwerwiegendes Sicherheitsproblem, bei dem über eine in clientseitigem JavaScript entdeckte Schwachstelle Zugriff auf SharePoint und Outlook möglich war.

  • Indiens Stromprobleme und Datenlecks

    Es wird angemerkt, dass die Stromprobleme in Indien ein noch größeres Problem seien als Datenlecks, verbunden mit der Hoffnung auf Fortschritte bei der Infrastrukturentwicklung des Landes.

  • Nichtmeldung von Sicherheitslücken

    Es wird die Ansicht vertreten, dass für das Nichtmelden von Sicherheitslücken rechtliche Verantwortung eingefordert werden sollte.

  • Fehlende E-Mail-Überwachung

    Kritisiert werden das Fehlen von E-Mail-Monitoring und das dadurch verursachte Versagen bei der Erkennung ungewöhnlicher Aktivitäten.

  • Gleichgültigkeit gegenüber Bug-Bounty-Programmen

    Kritisiert wird, dass TTIBI auf Fragen zu Bug Bounties nicht reagiert und Sicherheitsprobleme nicht angemessen behandelt.