Prim hesaplayıcısının kötüye kullanılmasıyla bir sigorta şirketinin hacklenmesi

Toyota/Eicher Motors sigorta şirketi hack olayı özeti

• Toyota Tsusho Insurance Broker India'nın alt alan adındaki Eicher Motors prim hesaplayıcı web sitesi, Microsoft kurumsal bulut kimlik bilgilerini açığa çıkardı.
• E-posta gönderim API'si istemciye gönderim günlüklerini döndürdü ve bu günlüklerde e-posta hesabının parolası da yer aldı.
• Bu parola kullanılarak "noreplyeicher@ttibi.co.in" Microsoft e-posta hesabına giriş yapılabiliyordu ve bu hesapta iki faktörlü kimlik doğrulama etkin değildi.
• E-posta hesabında müşterilere gönderilen her şeyin kaydı bulunuyordu; buna müşteri bilgileri, sigorta poliçesi PDF'leri, parola sıfırlama bağlantıları, OTP'ler ve benzerlerini içeren yaklaşık 657.000 e-posta (~25 GB) dahildi.
• Microsoft bulutundaki diğer kaynaklara da erişilebiliyordu; buna kurumsal dizin, SharePoint, Teams ve benzerleri dahildi.
• Toyota Tsusho Insurance Broker India, bildirimden sonra 2 aydan uzun süre geçmesine rağmen savunmasız API'yi kapattı ancak e-posta hesabının parolasını hâlâ değiştirmedi.

Toyota Tsusho Insurance Broker India ve Eicher Motors

• Toyota Tsusho Insurance Broker India ("TTIBI"), Japonya merkezli Toyota Tsusho Insurance Management Corporation bünyesinde kurulmuş, 2008'den beri Hindistan'ın önde gelen sigorta broker şirketlerinden biridir.
• Eicher Motors, Hindistan'ın önde gelen otomotiv üreticilerinden biridir; Royal Enfield Motors markasıyla motosiklet, Volvo Group ile ortak girişimi kapsamında ise VE Commercial Vehicles (VECV) markasıyla ticari araç üretmektedir.
• İki şirket, TTIBI sitesindeki Eicher'a özel alt alan adı üzerinden bir tür sigorta ortaklığı yürütmektedir.

Prim hesaplayıcı

• MY EICHER Android uygulaması analiz edilirken prim hesaplayıcısına giden bir URL bulundu.
• E-posta gönderim mekanizmasının istemci tarafında kontrol edildiğini gösteren kod keşfedildi ve API isteği denendiğinde, beklentinin aksine sunucu hatasıyla birlikte e-posta gönderim günlükleri döndü.
• Günlüklerde base64 ile kodlanmış bir parola bulunabildi ve bu durum ciddi bir güvenlik sorununa yol açtı.

E-posta hesabı

• "noreply" e-posta hesabı müşterilere otomatik e-postalar göndermek için kullanılıyordu ve bu durumda müşterilere gönderilen her şeyin kaydını tutuyordu.
• E-posta hesabı üzerinden kişisel/hassas bilgiler içeren sigorta poliçeleri, OTP'ler, parola sıfırlama bağlantıları ve benzerleri görülebiliyor; ayrıca Microsoft bulut kaynaklarına da erişilebiliyordu.

Güvenlik sorunlarının kusursuz fırtınası

• Bu zafiyet, talihsiz 5 güvenlik sorunu/hatasının birleşimi nedeniyle ortaya çıktı.
  • Sorun #1: İstemcinin kontrol ettiği e-posta gönderim işlevi oluşturmayın.
  • Sorun #2: API kimlik doğrulamasının olmaması.
  • Sorun #3: API yanıt sızıntısı.
  • Sorun #4: İki faktörlü kimlik doğrulamanın olmaması.
  • Sorun #5: E-posta saklama sorunu.

Parola hâlâ değiştirilmedi

• TTIBI, güvenlik açığını öğrendikten sonra 5 aydan uzun süre geçmesine rağmen e-posta hesabının parolasını değiştirmedi ve hesaba hâlâ giriş yapılabiliyordu.
• Microsoft'tan anormal oturum açma denemelerine ilişkin uyarı gelmemiş olmasına şaşkınlık ifade edildi.

Zaman çizelgesi

• TTIBI, Toyota'nın HackerOne güvenlik açığı bildirim programına dahil olmadığından, açık bunun yerine Hindistan'ın CERT-In kurumuna bildirildi.
• 7 Ağustos 2023 ile 22 Aralık arasındaki bildirim, yanıt ve doğrulama sürecinin ardından açığın giderildiği teyit edildi; bug bounty ödülüne ilişkin görüşmeler de oldu ancak TTIBI yanıt vermeyince dosya kapatıldı.

GN⁺ görüşü

• Bu olay, şirketlerde bulut güvenliği ve veri korumanın önemini vurguluyor. Basit bir web sitesi zafiyetinin nasıl büyük bir güvenlik tehdidine dönüşebileceğini gösteriyor.
• Güvenlik sorunlarını hızla gidermeyen şirketlerin tutumu, müşteri verilerinin korunmasına duyulan güveni zedeleyebilir.
• Bu vaka, yazılım geliştiriciler ve BT yöneticilerine güvenlik uygulamalarını yeniden gözden geçirip güçlendirme gereğini hatırlatıyor.