Vụ hack công ty bảo hiểm lợi dụng công cụ tính phí bảo hiểm

Tóm tắt vụ hack công ty bảo hiểm Toyota/Eicher Motors

• Trang web công cụ tính phí bảo hiểm của Eicher Motors trên một subdomain của Toyota Tsusho Insurance Broker India đã làm lộ thông tin xác thực Microsoft enterprise cloud.
• API gửi email trả về log gửi cho phía client, và log này chứa mật khẩu của tài khoản email.
• Có thể dùng mật khẩu đó để đăng nhập vào tài khoản email Microsoft "noreplyeicher@ttibi.co.in", và tài khoản này không bật xác thực hai yếu tố.
• Tài khoản email lưu toàn bộ lịch sử những gì đã gửi cho khách hàng, bao gồm khoảng 657.000 email (~25 GB) chứa thông tin khách hàng, PDF hợp đồng bảo hiểm, liên kết đặt lại mật khẩu, OTP, v.v.
• Cũng có thể truy cập các tài nguyên khác trên Microsoft cloud, bao gồm enterprise directory, SharePoint, Teams, v.v.
• Toyota Tsusho Insurance Broker India đã gỡ API dễ bị tấn công sau hơn 2 tháng kể từ khi được báo cáo, nhưng vẫn chưa đổi mật khẩu của tài khoản email.

Toyota Tsusho Insurance Broker India và Eicher Motors

• Toyota Tsusho Insurance Broker India ("TTIBI") là một công ty môi giới bảo hiểm lớn tại Ấn Độ, được thành lập năm 2008 trực thuộc Toyota Tsusho Insurance Management Corporation của Nhật Bản.
• Eicher Motors là một hãng sản xuất ô tô lớn của Ấn Độ, sản xuất xe máy dưới thương hiệu Royal Enfield Motors và xe thương mại dưới thương hiệu VE Commercial Vehicles (VECV) trong liên doanh với Volvo Group.
• Hai công ty có một dạng quan hệ đối tác bảo hiểm thông qua subdomain dành riêng cho Eicher trên trang TTIBI.

Công cụ tính phí bảo hiểm

• Trong quá trình phân tích ứng dụng Android MY EICHER, đã phát hiện một URL dẫn tới công cụ tính phí bảo hiểm.
• Đã phát hiện mã cho thấy cơ chế gửi email được điều khiển từ phía client, và khi thử gửi yêu cầu API thì trái với dự đoán, log gửi email đã được trả về cùng với lỗi máy chủ.
• Từ log, có thể tìm thấy mật khẩu được mã hóa bằng base64, dẫn tới một vấn đề bảo mật nghiêm trọng.

Tài khoản email

• Tài khoản email "noreply" được dùng để gửi email tự động cho khách hàng, và trong trường hợp này nó lưu lại toàn bộ lịch sử mọi thứ đã gửi cho khách hàng.
• Thông qua tài khoản email, có thể xem các hợp đồng bảo hiểm, OTP, liên kết đặt lại mật khẩu và các thông tin cá nhân/nhạy cảm khác, đồng thời cũng có thể truy cập tài nguyên trên Microsoft cloud.

Cơn bão hoàn hảo của các vấn đề bảo mật

• Lỗ hổng này xảy ra do 5 vấn đề/sai sót bảo mật không may kết hợp với nhau.
  • Vấn đề #1: Không nên tạo chức năng gửi email do client kiểm soát.
  • Vấn đề #2: Thiếu xác thực API.
  • Vấn đề #3: Rò rỉ phản hồi API.
  • Vấn đề #4: Không có xác thực hai yếu tố.
  • Vấn đề #5: Vấn đề lưu giữ email.

Mật khẩu vẫn chưa được thay đổi

• TTIBI vẫn chưa thay đổi mật khẩu của tài khoản email sau hơn 5 tháng kể từ khi biết về lỗ hổng, và hiện vẫn có thể đăng nhập.
• Bài viết bày tỏ sự ngạc nhiên khi không có cảnh báo nào từ Microsoft về các lần đăng nhập bất thường.

Dòng thời gian

• Vì TTIBI không nằm trong chương trình công bố lỗ hổng HackerOne của Toyota, lỗ hổng đã được báo cáo cho CERT-In của Ấn Độ.
• Qua quá trình báo cáo, phản hồi và xác nhận từ ngày 7/8/2023 đến 22/12, đã xác nhận lỗ hổng được khắc phục, đồng thời có thảo luận về phần thưởng bug bounty nhưng TTIBI không phản hồi nên vụ việc được khép lại.

Ý kiến của GN⁺

• Vụ việc này nhấn mạnh tầm quan trọng của bảo mật cloud doanh nghiệp và bảo vệ dữ liệu. Nó cho thấy một lỗ hổng website đơn giản có thể dẫn tới một mối đe dọa bảo mật lớn.
• Thái độ không nhanh chóng khắc phục vấn đề bảo mật của doanh nghiệp có thể làm tổn hại niềm tin vào việc bảo vệ dữ liệu khách hàng.
• Trường hợp này nhắc nhở các nhà phát triển phần mềm và quản trị viên IT cần rà soát lại và tăng cường các thực hành bảo mật.