Toyota подставила своих клиентов, сделав их данные общедоступными с 2023 года

В Toyota Tsusho Insurance Broker India (TTIBI), совместном индийско-японском страховом предприятии, обнаружена проблема безопасности, приведшая к утечке более 650 000 электронных сообщений клиентов, размещённых на серверах Microsoft. Нарушение конфиденциальности было обнаружено исследователем в области кибербезопасности.

Проблема заключалась в неправильно настроенном сервере, и, как выяснилось, она не полностью устранена. Несмотря на то, что исследователь сообщил о ней 5 месяцев назад, компания до сих пор не изменила пароль от затронутого аккаунта.

Исследователь из Traceable AI Итон Звеар рассказал, как он обнаружил уязвимость при анализе Android-приложения от индийской автомобильной компании Eicher Motors. Приложение, предназначенное для различных автомобильных услуг, включало в себя интерфейс API, который привёл к раскрытию информации.

Приложение для Android My Eicher предлагает различные услуги, связанные с транспортными средствами, такие как прогнозирование времени безотказной работы оборудования, управление топливом и мониторинг автопарка. Приложение включает в себя Java-класс API-интерфейса, который содержит GET-запрос к странице премиум-калькулятора.

Звеар обнаружил, что веб-страница калькулятора страховых выплат на сайте TTIBI содержала функцию отправки электронной почты через серверный API. Это вызвало подозрения, так как теоретически через такой механизм можно было отправлять электронные письма от имени компании.

Исследователь отправил электронное письмо от имени Eicher Motors

Когда Звеар попытался использовать обнаруженный API для отправки сообщения, вместо ожидаемой ошибки «401 – Unauthorized Error (отказ в доступе)», он получил логи сервера, раскрывающие пароль (в кодировке Base64) от аккаунта Eicher Motors в Microsoft Office 365, использовавшийся для отправки автоматических писем клиентам с адреса noreply@.

Письмо вернулось с ошибкой сервера, которая показала журнал отправки электронной почты. Здесь отображается закодированный пароль Microsoft Office 365

Наиболее тревожным было то, что через аккаунт можно было получить доступ к содержимому всех отправленных клиентам писем, включая страховые полисы с личной информацией и ссылки для сброса паролей, что могло привести к краже аккаунтов. В общей сложности было раскрыто 657 000 электронных писем, что составляло около 25 ГБ данных.

Звеар сообщил о проблеме в августе 2023 года в Команду быстрого реагирования на компьютерные чрезвычайные ситуации Индии (Computer Emergency Response Team – India, CERT-IN), так как уязвимость не попадала под программу раскрытия уязвимостей Toyota в HackerOne. В октябре было объявлено о частичном устранении проблемы за счёт добавления проверки аутентификации для отправки писем.

Однако, по словам Звеара, TTIBI не предприняла должных мер и не изменила пароль даже спустя 5 месяцев после обнаружения проблемы. TTIBI и Eicher Motors не ответили на запросы о комментарии.