प्रीमियम कैलकुलेटर का दुरुपयोग कर बीमा कंपनी हैक की घटना

Toyota/Eicher Motors बीमा कंपनी हैक घटना का सारांश

• Toyota Tsusho Insurance Broker India के एक subdomain पर मौजूद Eicher Motors प्रीमियम कैलकुलेटर वेबसाइट ने Microsoft enterprise cloud credentials उजागर कर दिए.
• ईमेल भेजने वाला API क्लाइंट को sending logs लौटा रहा था, और इन logs में ईमेल अकाउंट का password शामिल था.
• उस password का उपयोग करके "noreplyeicher@ttibi.co.in" Microsoft ईमेल अकाउंट में लॉगिन किया जा सकता था, और इस अकाउंट पर two-factor authentication सक्षम नहीं था.
• ईमेल अकाउंट में ग्राहकों को भेजी गई हर चीज़ का रिकॉर्ड था, जिसमें customer information, insurance policy PDF, password reset links, OTP आदि सहित लगभग 657,000 ईमेल (~25 GB) शामिल थे.
• Microsoft cloud के अन्य resources भी access किए जा सकते थे, जिनमें enterprise directory, SharePoint, Teams आदि शामिल थे.
• Toyota Tsusho Insurance Broker India ने रिपोर्ट मिलने के 2 महीने से अधिक समय बाद vulnerable API को बंद किया, लेकिन ईमेल अकाउंट का password अब भी नहीं बदला.

Toyota Tsusho Insurance Broker India और Eicher Motors

• Toyota Tsusho Insurance Broker India ("TTIBI") जापान की Toyota Tsusho Insurance Management Corporation के अंतर्गत स्थापित, 2008 में शुरू हुई भारत की एक प्रमुख insurance brokerage company है.
• Eicher Motors भारत की एक प्रमुख automobile manufacturer है, जो Royal Enfield Motors ब्रांड के तहत motorcycles और Volvo Group के साथ joint venture के रूप में VE Commercial Vehicles (VECV) ब्रांड के तहत commercial vehicles बनाती है.
• दोनों कंपनियों के बीच TTIBI साइट के Eicher-समर्पित subdomain के जरिए किसी प्रकार की insurance partnership है.

प्रीमियम कैलकुलेटर

• MY EICHER Android app का विश्लेषण करते समय प्रीमियम कैलकुलेटर से जुड़ा एक URL मिला.
• ईमेल भेजने की client-side controlled mechanism वाला code मिला, और API request आज़माने पर अपेक्षा के विपरीत server error के साथ email sending logs वापस मिले.
• logs में base64-encoded password मिल गया, जिससे गंभीर security issue पैदा हुआ.

ईमेल अकाउंट

• "noreply" ईमेल अकाउंट ग्राहकों को automated emails भेजने के लिए इस्तेमाल होता था, और इस मामले में इसमें ग्राहकों को भेजी गई हर चीज़ का रिकॉर्ड मौजूद था.
• ईमेल अकाउंट के जरिए personal/sensitive information वाले insurance policies, OTP, password reset links आदि देखे जा सकते थे, और Microsoft cloud resources तक भी access संभव था.

सुरक्षा समस्याओं का परफेक्ट स्टॉर्म

• यह vulnerability 5 दुर्भाग्यपूर्ण security issues/mistakes के कारण हुई.
  • समस्या #1: client-controlled email sending functionality नहीं बनानी चाहिए.
  • समस्या #2: API authentication का अभाव.
  • समस्या #3: API response leak.
  • समस्या #4: two-factor authentication का अभाव.
  • समस्या #5: email retention issue.

password अब भी नहीं बदला गया

• TTIBI ने vulnerability का पता चलने के 5 महीने से अधिक समय बाद भी ईमेल अकाउंट का password नहीं बदला, और अब भी लॉगिन संभव था.
• Microsoft की ओर से असामान्य लॉगिन पर कोई alert न आने पर आश्चर्य जताया गया.

टाइमलाइन

• TTIBI, Toyota के HackerOne vulnerability disclosure program में शामिल नहीं था, इसलिए इसके बजाय भारत के CERT-In को vulnerability report की गई.
• 7 अगस्त 2023 से 22 दिसंबर तक रिपोर्ट, response और verification की प्रक्रिया के बाद vulnerability के ठीक होने की पुष्टि हुई, और bug bounty reward पर चर्चा भी हुई, लेकिन TTIBI की ओर से जवाब न आने पर मामला बंद हो गया.

GN⁺ की राय

• यह घटना enterprise cloud security और data protection के महत्व को रेखांकित करती है. यह दिखाती है कि एक साधारण website vulnerability भी बड़े security threat में बदल सकती है.
• security issues को तेज़ी से हल न करने वाली कंपनियों का रवैया customer data protection पर भरोसे को नुकसान पहुँचा सकता है.
• यह मामला software developers और IT administrators को security practices की समीक्षा और उन्हें मज़बूत करने की ज़रूरत की याद दिलाता है.