Новости Калькулятор страховки Toyota открывает доступ к аккаунту компании и её клиентам

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Компания уже 5 месяцев игнорирует проблему - к чему это приведет?


owrsm8mvmer2lqw54d5f4ugq6n69ioj4.jpg


В Toyota Tsusho Insurance Broker India (TTIBI), совместном индийско-японском страховом предприятии, обнаружена проблема безопасности, приведшая к утечке более 650 000 электронных сообщений клиентов, размещённых на серверах Microsoft. Нарушение конфиденциальности было обнаружено исследователем в области кибербезопасности.

Проблема заключалась в неправильно настроенном сервере, и, как выяснилось, она не полностью устранена. Несмотря на то, что исследователь сообщил о ней 5 месяцев назад, компания до сих пор не изменила пароль от затронутого аккаунта.

Исследователь из Traceable AI Итон Звеар рассказал, Для просмотра ссылки Войди или Зарегистрируйся при анализе Android-приложения от индийской автомобильной компании Eicher Motors. Приложение, предназначенное для различных автомобильных услуг, включало в себя интерфейс API , который привёл к раскрытию информации.

Приложение для Android My Eicher предлагает различные услуги, связанные с транспортными средствами, такие как прогнозирование времени безотказной работы оборудования, управление топливом и мониторинг автопарка. Приложение включает в себя Java-класс API-интерфейса, который содержит GET-запрос к странице премиум-калькулятора.

Звеар обнаружил, что веб-страница калькулятора страховых выплат на сайте TTIBI содержала функцию отправки электронной почты через серверный API. Это вызвало подозрения, так как теоретически через такой механизм можно было отправлять электронные письма от имени компании.


9izqlvjiecmgyna8fa9bhxne7rxylufe.png


Исследователь отправил электронное письмо от имени Eicher Motors

Когда Звеар попытался использовать обнаруженный API для отправки сообщения, вместо ожидаемой ошибки «401 – Unauthorized Error (отказ в доступе)», он получил логи сервера, раскрывающие пароль (в кодировке Base64) от аккаунта Eicher Motors в Microsoft Office 365, использовавшийся для отправки автоматических писем клиентам с адреса noreply@.


y2b2fjomffuj6tjfl47zj7pzteo78vuf.png


Письмо вернулось с ошибкой сервера, которая показала журнал отправки электронной почты. Здесь отображается закодированный пароль Microsoft Office 365

Наиболее тревожным было то, что через аккаунт можно было получить доступ к содержимому всех отправленных клиентам писем, включая страховые полисы с личной информацией и ссылки для сброса паролей, что могло привести к краже аккаунтов. В общей сложности было раскрыто 657 000 электронных писем, что составляло около 25 ГБ данных.

Звеар сообщил о проблеме в августе 2023 года в Команду быстрого реагирования на компьютерные чрезвычайные ситуации Индии (Computer Emergency Response Team – India, CERT-IN), так как уязвимость не попадала под программу раскрытия уязвимостей Toyota в HackerOne. В октябре было объявлено о частичном устранении проблемы за счёт добавления проверки аутентификации для отправки писем.

Однако, по словам Звеара, TTIBI не предприняла должных мер и не изменила пароль даже спустя 5 месяцев после обнаружения проблемы. TTIBI и Eicher Motors не ответили на запросы о комментарии.
 
Источник новости
www.securitylab.ru

Похожие темы