Insiden peretasan perusahaan asuransi yang menyalahgunakan kalkulator premi

Ringkasan insiden peretasan perusahaan asuransi Toyota/Eicher Motors

• Situs web kalkulator premi Eicher Motors pada subdomain milik Toyota Tsusho Insurance Broker India mengekspos kredensial cloud perusahaan Microsoft.
• API pengiriman email mengembalikan log pengiriman kepada klien, dan log ini berisi kata sandi akun email.
• Dengan menggunakan kata sandi tersebut, penyerang dapat masuk ke akun email Microsoft "noreplyeicher@ttibi.co.in", dan akun ini tidak memiliki autentikasi dua faktor.
• Akun email tersebut memiliki riwayat semua yang dikirim ke pelanggan, termasuk sekitar 657.000 email (~25 GB) yang berisi informasi pelanggan, PDF polis asuransi, tautan reset kata sandi, OTP, dan lainnya.
• Sumber daya lain di Microsoft cloud juga dapat diakses, termasuk direktori perusahaan, SharePoint, Teams, dan lainnya.
• Toyota Tsusho Insurance Broker India menonaktifkan API yang rentan lebih dari 2 bulan setelah laporan, tetapi masih belum mengubah kata sandi akun email.

Toyota Tsusho Insurance Broker India dan Eicher Motors

• Toyota Tsusho Insurance Broker India ("TTIBI") adalah perusahaan pialang asuransi besar di India yang didirikan pada tahun 2008 di bawah Toyota Tsusho Insurance Management Corporation dari Jepang.
• Eicher Motors adalah produsen otomotif besar di India yang memproduksi sepeda motor dengan merek Royal Enfield Motors serta kendaraan komersial dengan merek VE Commercial Vehicles (VECV) melalui usaha patungan dengan Volvo Group.
• Kedua perusahaan memiliki bentuk kemitraan asuransi melalui subdomain khusus Eicher di situs TTIBI.

Kalkulator premi

• Dalam proses menganalisis aplikasi Android MY EICHER, ditemukan URL yang terhubung ke kalkulator premi.
• Ditemukan kode yang mengendalikan mekanisme pengiriman email dari sisi klien, dan saat mencoba permintaan API, log pengiriman email justru dikembalikan bersama error server, sesuatu yang tidak terduga.
• Dari log tersebut, dapat ditemukan kata sandi yang dienkode dalam base64, yang berujung pada masalah keamanan serius.

Akun email

• Akun email "noreply" digunakan untuk mengirim email otomatis kepada pelanggan, dan dalam kasus ini menyimpan riwayat semua yang pernah dikirim kepada pelanggan.
• Melalui akun email tersebut, polis asuransi yang berisi informasi pribadi/sensitif, OTP, tautan reset kata sandi, dan lainnya dapat dilihat, serta sumber daya Microsoft cloud juga dapat diakses.

Badai sempurna dari masalah keamanan

• Kerentanan ini terjadi karena 5 masalah/kesalahan keamanan yang tidak menguntungkan.
  • Masalah #1: Jangan membuat fungsi pengiriman email yang dikendalikan klien.
  • Masalah #2: Tidak ada autentikasi API.
  • Masalah #3: Kebocoran respons API.
  • Masalah #4: Tidak adanya autentikasi dua faktor.
  • Masalah #5: Masalah retensi email.

Kata sandi masih belum diubah

• TTIBI belum mengubah kata sandi akun email itu bahkan lebih dari 5 bulan setelah mengetahui kerentanan tersebut, dan login masih tetap dimungkinkan.
• Penulis menyatakan keterkejutannya karena tidak ada peringatan dari Microsoft tentang login abnormal.

Linimasa

• Karena TTIBI tidak termasuk dalam program pengungkapan kerentanan HackerOne milik Toyota, kerentanan tersebut dilaporkan ke CERT-In India.
• Setelah melalui proses pelaporan, respons, dan verifikasi dari 7 Agustus 2023 hingga 22 Desember, dipastikan bahwa kerentanan telah diperbaiki, dan sempat ada pembahasan mengenai imbalan bug bounty, tetapi TTIBI tidak merespons sehingga kasus ditutup.

Opini GN⁺

• Insiden ini menekankan pentingnya keamanan cloud perusahaan dan perlindungan data. Ini menunjukkan bahwa kerentanan situs web yang sederhana pun dapat berkembang menjadi ancaman keamanan besar.
• Sikap perusahaan yang tidak segera menyelesaikan masalah keamanan dapat merusak kepercayaan terhadap perlindungan data pelanggan.
• Kasus ini mengingatkan pengembang perangkat lunak dan administrator TI untuk meninjau ulang dan memperkuat praktik keamanan mereka.