保険料計算機を悪用した保険会社ハッキング事件

 (eaton-works.com)
1 ポイント 投稿者 GN⁺ 2024-01-18 | 1件のコメント | WhatsAppで共有

Toyota/Eicher Motors 保険会社ハッキング事件の要約

  • Toyota Tsusho Insurance Broker India のサブドメインにある Eicher Motors の保険料計算機ウェブサイトが、Microsoft 企業クラウドの認証情報を露出していた。
  • メール送信 API がクライアントに送信ログを返しており、そのログにはメールアカウントのパスワードが含まれていた。
  • そのパスワードを使って "noreplyeicher@ttibi.co.in" の Microsoft メールアカウントにログイン可能で、このアカウントには二要素認証が設定されていなかった。
  • メールアカウントには顧客に送信したすべての記録があり、顧客情報、保険証券 PDF、パスワード再設定リンク、OTP などを含む約 657,000 通のメール(約 25 GB)が保存されていた。
  • Microsoft クラウド上の他のリソースにもアクセス可能で、企業ディレクトリ、SharePoint、Teams などが含まれていた。
  • Toyota Tsusho Insurance Broker India は報告から 2 か月以上かけて脆弱な API を停止したが、メールアカウントのパスワードは依然として変更しなかった。

Toyota Tsusho Insurance Broker India と Eicher Motors

  • Toyota Tsusho Insurance Broker India("TTIBI")は、日本の Toyota Tsusho Insurance Management Corporation 傘下で設立された、2008 年創業のインドの主要な保険ブローカー会社。
  • Eicher Motors はインドの主要な自動車メーカーで、Royal Enfield Motors ブランドでオートバイを、Volvo Group との合弁で VE Commercial Vehicles(VECV)ブランドの商用車を製造している。
  • 両社は TTIBI サイト上の Eicher 専用サブドメインを通じて、何らかの保険パートナーシップを結んでいる。

保険料計算機

  • MY EICHER Android アプリを解析する過程で、保険料計算機につながる URL を発見した。
  • メール送信メカニズムをクライアント側で制御するコードを発見し、API リクエストを試したところ、想定に反してサーバーエラーとともにメール送信ログが返された。
  • ログから base64 でエンコードされたパスワードを見つけることができ、これが重大なセキュリティ問題につながった。

メールアカウント

  • "noreply" メールアカウントは顧客に自動メールを送信するために使われており、このケースでは顧客に送ったすべての記録を保持していた。
  • メールアカウントを通じて、個人情報・機微情報を含む保険証券、OTP、パスワード再設定リンクなどを見ることができ、Microsoft クラウドのリソースにもアクセス可能だった。

セキュリティ問題が重なった最悪の状況

  • この脆弱性は、5 つの不運なセキュリティ問題/ミスによって発生した。
    • 問題 #1: クライアントが制御するメール送信機能を作らないこと。
    • 問題 #2: API 認証の欠如。
    • 問題 #3: API レスポンスの漏えい。
    • 問題 #4: 二要素認証の不在。
    • 問題 #5: メール保持の問題。

パスワードは依然として変更されず

  • TTIBI は脆弱性を認識してから 5 か月以上たってもメールアカウントのパスワードを変更しておらず、依然としてログイン可能だった。
  • Microsoft から異常ログインに関する警告がなかったことに驚きを示している。

タイムライン

  • TTIBI は Toyota の HackerOne 脆弱性開示プログラムの対象ではなかったため、代わりにインドの CERT-In に脆弱性を報告した。
  • 2023 年 8 月 7 日から 12 月 22 日までの報告、応答、確認の過程を経て脆弱性が解消されたことを確認し、バグバウンティ報酬についての議論もあったが、TTIBI が応答しなかったため事例は終了した。

GN⁺ の見解

  • この事件は、企業のクラウドセキュリティとデータ保護の重要性を強調している。単純なウェブサイトの脆弱性が大きなセキュリティ脅威につながり得ることを示している。
  • セキュリティ問題を迅速に解決しない企業の姿勢は、顧客データ保護への信頼を損なう可能性がある。
  • この事例は、ソフトウェア開発者と IT 管理者に対して、セキュリティ慣行を再検討し強化する必要性を改めて認識させる。

関連記事

1件のコメント

 
GN⁺ 2024-01-18
Hacker Newsの意見

  • 文化的な問題と管理手法

    あるIT大企業で働くインド人ではない立場から、開発者が自己実現したり主体的に働いたりすることを妨げ、安価に仕事を回す管理手法に問題を提起している。米国であれば会社を辞めていただろうが、インドではそうできない状況だと指摘している。

  • 経営陣の技術的背景の不足

    経営陣の大半に技術的背景がなく、何が間違っているのかを聞きたがらないうえ、開発者同士が異なる分野について対話せず、それぞれの領域にだけ集中するような分断された作業環境を作っていると批判している。

  • 予算とセキュリティの問題

    大規模プロジェクトでも些細な費用をめぐって議論になることがあると述べ、セキュリティチームの予算が真っ先に削減される問題を指摘している。

  • 開発者の役割とイノベーション文化の欠如

    開発者が革新的ではなく、単に指示されたとおりに働くコールセンターのような環境で仕事をしていることへの批判を示している。

  • 金融情報の脆弱なセキュリティ

    過去に自動車ディーラーの金融情報の保存方法に脆弱性を見つけたが、セキュリティ問題への認識不足から報告しなかった経験を共有している。

  • 企業のずさんなセキュリティ管理

    顧客文書をメールアカウントに保存するなど、ずさんなセキュリティ管理について企業の管理不備を批判している。

  • 開発者による意図的なセキュリティホール

    他国の開発者が政府に売るために意図的にセキュリティホールを作る可能性があるのではないかという疑念を示している。

  • セキュリティ問題への無関心

    TTIBIがセキュリティ脆弱性を把握しているにもかかわらず、いまだにパスワードを変更していない問題を指摘している。

  • クライアントサイドJavaScriptを通じた脆弱性

    クライアントサイドJavaScriptから発見された脆弱性により、SharePointやOutlookへのアクセスが可能になる深刻なセキュリティ問題に言及している。

  • インドの電力問題とデータ流出

    インドではデータ流出より電力問題のほうが大きな問題だと述べ、同国のインフラ発展への期待を表明している。

  • セキュリティ脆弱性の未報告問題

    セキュリティ脆弱性を報告しないことについて、法的責任を問うべきだという意見を示している。

  • メール監視の欠如

    メール監視が行われていないことと、その結果として異常な活動の検知に失敗している点を指摘している。

  • バグバウンティへの無関心

    TTIBIがバグバウンティに関する質問に応答せず、セキュリティ問題を適切に扱わない姿勢を批判している.