Халатность привела к раскрытию тайн компании и её клиентов.
В
Проблема заключалась в неправильно настроенном сервере, и, как выяснилось, она не полностью устранена. Несмотря на то, что исследователь сообщил о ней 5 месяцев назад, компания до сих пор не изменила пароль от затронутого аккаунта.
Исследователь из Traceable AI Итон Звеар рассказал,
Приложение для Android My Eicher предлагает различные услуги, связанные с транспортными средствами, такие как прогнозирование времени безотказной работы оборудования, управление топливом и мониторинг автопарка. Приложение включает в себя Java-класс API-интерфейса, который содержит GET-запрос к странице премиум-калькулятора.
Звеар обнаружил, что веб-страница калькулятора страховых выплат на сайте TTIBI содержала функцию отправки электронной почты через серверный API. Это вызвало подозрения, так как теоретически через такой механизм можно было отправлять электронные письма от имени компании.
Когда Звеар попытался использовать обнаруженный API для отправки сообщения, вместо ожидаемой ошибки «401 – Unauthorized Error (отказ в доступе)», он получил логи сервера, раскрывающие пароль (в кодировке Base64) от аккаунта Eicher Motors в Microsoft Office 365, использовавшийся для отправки автоматических писем клиентам с адреса noreply@.
Наиболее тревожным было то, что через аккаунт можно было получить доступ к содержимому всех отправленных клиентам писем, включая страховые полисы с личной информацией и ссылки для сброса паролей, что могло привести к краже аккаунтов. В общей сложности было раскрыто 657 000 электронных писем, что составляло около 25 ГБ данных.
Звеар сообщил о проблеме в августе 2023 года в Команду быстрого реагирования на компьютерные чрезвычайные ситуации Индии (Computer Emergency Response Team – India, CERT-IN), так как уязвимость не попадала под программу раскрытия уязвимостей Toyota в HackerOne. В октябре было объявлено о частичном устранении проблемы за счёт добавления проверки аутентификации для отправки писем.
Однако, по словам Звеара, TTIBI не предприняла должных мер и не изменила пароль даже спустя 5 месяцев после обнаружения проблемы. TTIBI и Eicher Motors не ответили на запросы о комментарии.
В
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Tsusho Insurance Broker India (TTIBI), совместном индийско-японском страховом предприятии, обнаружена проблема безопасности, приведшая к утечке более 650 000 электронных сообщений клиентов, размещённых на серверах Microsoft. Нарушение конфиденциальности было обнаружено исследователем в области кибербезопасности.Проблема заключалась в неправильно настроенном сервере, и, как выяснилось, она не полностью устранена. Несмотря на то, что исследователь сообщил о ней 5 месяцев назад, компания до сих пор не изменила пароль от затронутого аккаунта.
Исследователь из Traceable AI Итон Звеар рассказал,
Для просмотра ссылки необходимо нажать
Вход или Регистрация
при анализе Android-приложения от индийской автомобильной компании Eicher Motors. Приложение, предназначенное для различных автомобильных услуг, включало в себя интерфейс
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, который привёл к раскрытию информации.Приложение для Android My Eicher предлагает различные услуги, связанные с транспортными средствами, такие как прогнозирование времени безотказной работы оборудования, управление топливом и мониторинг автопарка. Приложение включает в себя Java-класс API-интерфейса, который содержит GET-запрос к странице премиум-калькулятора.
Звеар обнаружил, что веб-страница калькулятора страховых выплат на сайте TTIBI содержала функцию отправки электронной почты через серверный API. Это вызвало подозрения, так как теоретически через такой механизм можно было отправлять электронные письма от имени компании.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Исследователь отправил электронное письмо от имени Eicher Motors
Когда Звеар попытался использовать обнаруженный API для отправки сообщения, вместо ожидаемой ошибки «401 – Unauthorized Error (отказ в доступе)», он получил логи сервера, раскрывающие пароль (в кодировке Base64) от аккаунта Eicher Motors в Microsoft Office 365, использовавшийся для отправки автоматических писем клиентам с адреса noreply@.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Письмо вернулось с ошибкой сервера, которая показала журнал отправки электронной почты. Здесь отображается закодированный пароль Microsoft Office 365
Наиболее тревожным было то, что через аккаунт можно было получить доступ к содержимому всех отправленных клиентам писем, включая страховые полисы с личной информацией и ссылки для сброса паролей, что могло привести к краже аккаунтов. В общей сложности было раскрыто 657 000 электронных писем, что составляло около 25 ГБ данных.
Звеар сообщил о проблеме в августе 2023 года в Команду быстрого реагирования на компьютерные чрезвычайные ситуации Индии (Computer Emergency Response Team – India, CERT-IN), так как уязвимость не попадала под программу раскрытия уязвимостей Toyota в HackerOne. В октябре было объявлено о частичном устранении проблемы за счёт добавления проверки аутентификации для отправки писем.
Однако, по словам Звеара, TTIBI не предприняла должных мер и не изменила пароль даже спустя 5 месяцев после обнаружения проблемы. TTIBI и Eicher Motors не ответили на запросы о комментарии.
Для просмотра ссылки необходимо нажать
Вход или Регистрация