Piratage d’un assureur via un calculateur de prime d’assurance détourné

 (eaton-works.com)
1 points par GN⁺ 2024-01-18 | 1 commentaires | Partager sur WhatsApp

Résumé du piratage de l’assureur Toyota/Eicher Motors

  • Le site web du calculateur de prime d’assurance d’Eicher Motors, situé sur un sous-domaine de Toyota Tsusho Insurance Broker India, exposait des identifiants du cloud d’entreprise Microsoft.
  • L’API d’envoi d’e-mails renvoyait aux clients les journaux d’envoi, qui contenaient le mot de passe du compte e-mail.
  • Ce mot de passe permettait de se connecter au compte Microsoft e-mail noreplyeicher@ttibi.co.in, sur lequel l’authentification à deux facteurs n’était pas activée.
  • Le compte e-mail contenait un historique de tout ce qui avait été envoyé aux clients, soit environ 657 000 e-mails (~25 Go), incluant des informations clients, des PDF de polices d’assurance, des liens de réinitialisation de mot de passe, des OTP, etc.
  • D’autres ressources du cloud Microsoft étaient également accessibles, notamment l’annuaire d’entreprise, SharePoint et Teams.
  • Plus de deux mois après le signalement, Toyota Tsusho Insurance Broker India a bien retiré l’API vulnérable, mais n’avait toujours pas changé le mot de passe du compte e-mail.

Toyota Tsusho Insurance Broker India et Eicher Motors

  • Toyota Tsusho Insurance Broker India (« TTIBI ») est l’un des principaux courtiers en assurance en Inde, fondé en 2008 sous l’égide de Toyota Tsusho Insurance Management Corporation, au Japon.
  • Eicher Motors est un grand constructeur automobile indien, qui fabrique des motos sous la marque Royal Enfield Motors et des véhicules commerciaux sous la marque VE Commercial Vehicles (VECV) dans le cadre d’une coentreprise avec Volvo Group.
  • Les deux entreprises ont une forme de partenariat dans l’assurance via un sous-domaine dédié à Eicher sur le site de TTIBI.

Calculateur de prime d’assurance

  • Lors de l’analyse de l’application Android MY EICHER, une URL menant au calculateur de prime d’assurance a été découverte.
  • Du code permettant de piloter côté client le mécanisme d’envoi d’e-mails a été trouvé ; en testant des requêtes API, les journaux d’envoi d’e-mails ont été renvoyés avec une erreur serveur, contre toute attente.
  • Un mot de passe encodé en base64 a pu être extrait des journaux, ce qui a mené à un grave problème de sécurité.

Compte e-mail

  • Le compte e-mail noreply servait à envoyer des e-mails automatisés aux clients et, dans ce cas, conservait aussi l’historique de tout ce qui leur avait été envoyé.
  • Via ce compte, il était possible de consulter des polices d’assurance, des OTP, des liens de réinitialisation de mot de passe et d’autres informations personnelles ou sensibles, ainsi que d’accéder à des ressources du cloud Microsoft.

Une tempête parfaite de problèmes de sécurité

  • Cette vulnérabilité résulte de cinq problèmes/erreurs de sécurité malheureux.
    • Problème n°1 : ne pas concevoir de fonction d’envoi d’e-mails contrôlée par le client.
    • Problème n°2 : absence d’authentification de l’API.
    • Problème n°3 : fuite dans la réponse de l’API.
    • Problème n°4 : absence d’authentification à deux facteurs.
    • Problème n°5 : problème de conservation des e-mails.

Le mot de passe n’a toujours pas été changé

  • Plus de cinq mois après avoir pris connaissance de la vulnérabilité, TTIBI n’avait toujours pas changé le mot de passe du compte e-mail, et il était encore possible de s’y connecter.
  • L’auteur exprime sa surprise de n’avoir reçu aucune alerte de Microsoft concernant des connexions anormales.

Chronologie

  • TTIBI n’étant pas inclus dans le programme de divulgation de vulnérabilités HackerOne de Toyota, la vulnérabilité a été signalée à la place au CERT-In indien.
  • Après les étapes de signalement, de réponse et de vérification entre le 7 août 2023 et le 22 décembre, il a été confirmé que la vulnérabilité était corrigée ; une discussion a eu lieu au sujet d’une récompense de bug bounty, mais TTIBI n’ayant pas répondu, le dossier a été clos.

Avis de GN⁺

  • Cet incident souligne l’importance de la sécurité cloud en entreprise et de la protection des données. Il montre qu’une simple vulnérabilité sur un site web peut déboucher sur une menace de sécurité majeure.
  • L’attitude d’une entreprise qui ne corrige pas rapidement des problèmes de sécurité peut nuire à la confiance dans sa capacité à protéger les données de ses clients.
  • Ce cas rappelle aux développeurs logiciels et aux administrateurs IT la nécessité de réexaminer et de renforcer leurs pratiques de sécurité.

À lire aussi

1 commentaires

 
GN⁺ 2024-01-18
Avis sur Hacker News

  • Problème culturel et mode de gestion

    En tant que non-Indien travaillant dans une grande entreprise IT, un commentateur dénonce un mode de gestion qui empêche les développeurs de s’épanouir ou de travailler de manière proactive, et cherche avant tout à faire le travail au moindre coût. Il souligne qu’aux États-Unis il aurait quitté l’entreprise, mais qu’en Inde la situation ne le permet pas.

  • Manque de bagage technique chez les managers

    Il critique le fait que la plupart des managers n’ont pas de formation technique, ne veulent pas entendre ce qui ne va pas, et imposent un environnement de travail cloisonné où les développeurs ne communiquent pas entre domaines et restent cantonnés à leur périmètre.

  • Budget et sécurité

    Il mentionne que même sur de gros projets, on se dispute pour des coûts dérisoires, et souligne que le budget de l’équipe sécurité est le premier à être coupé.

  • Rôle des développeurs et absence de culture de l’innovation

    Il critique un environnement où les développeurs ne sont pas innovants et travaillent comme dans un centre d’appels, en exécutant simplement ce qu’on leur demande.

  • Sécurité fragile des informations financières

    Un commentateur partage avoir découvert par le passé la faiblesse du mode de stockage des informations financières chez un concessionnaire automobile, mais ne pas l’avoir signalée en raison du manque de sensibilisation aux problèmes de sécurité.

  • Gestion négligente de la sécurité par les entreprises

    Il critique la mauvaise gestion de la sécurité dans les entreprises, comme le fait de stocker des documents clients dans des comptes e-mail.

  • Failles de sécurité intentionnelles créées par des développeurs

    Un commentateur émet l’hypothèse que des développeurs d’autres pays pourraient créer volontairement des failles de sécurité afin de les vendre à leur gouvernement.

  • Indifférence face aux problèmes de sécurité

    Il est souligné que TTIBI connaissait la vulnérabilité de sécurité mais n’avait toujours pas changé le mot de passe.

  • Vulnérabilité via du JavaScript côté client

    Un grave problème de sécurité est mentionné : une vulnérabilité découverte via du JavaScript côté client permettait d’accéder à SharePoint et Outlook.

  • Problèmes d’électricité en Inde et fuite de données

    Un commentaire indique que les problèmes d’électricité en Inde sont plus graves que les fuites de données, tout en exprimant l’espoir d’une amélioration des infrastructures du pays.

  • Non-signalement des vulnérabilités de sécurité

    Un avis estime qu’une responsabilité juridique devrait être engagée lorsqu’une vulnérabilité de sécurité n’est pas signalée.

  • Absence de surveillance des e-mails

    Il est souligné que l’absence de surveillance des e-mails a empêché de détecter des activités anormales.

  • Désintérêt pour le bug bounty

    TTIBI est critiqué pour ne pas répondre aux questions sur le bug bounty et pour son incapacité à traiter correctement les problèmes de sécurité.