GN⁺: 보험료 계산기를 악용한 보험사 해킹 사건
(eaton-works.com)Toyota/Eicher Motors 보험사 해킹 사건 요약
- Toyota Tsusho Insurance Broker India의 하위 도메인에 있는 Eicher Motors 보험료 계산기 웹사이트가 Microsoft 기업 클라우드 자격 증명을 노출.
- 이메일 발송 API가 클라이언트에게 발송 로그를 반환했으며, 이 로그에는 이메일 계정의 비밀번호가 포함됨.
- 해당 비밀번호를 사용하여 "[email protected]" Microsoft 이메일 계정에 로그인 가능했으며, 이 계정에는 이중 인증이 설정되어 있지 않음.
- 이메일 계정에는 고객에게 보낸 모든 것의 기록이 있었으며, 이는 고객 정보, 보험 정책 PDF, 비밀번호 재설정 링크, OTP 등을 포함한 약 657,000개의 이메일(~25 GB)을 포함함.
- Microsoft 클라우드의 다른 자원들도 접근 가능했으며, 이에는 기업 디렉토리, SharePoint, Teams 등이 포함됨.
- Toyota Tsusho Insurance Broker India는 보고 후 2개월이 넘도록 취약한 API를 내렸지만, 여전히 이메일 계정의 비밀번호는 변경하지 않음.
Toyota Tsusho Insurance Broker India와 Eicher Motors
- Toyota Tsusho Insurance Broker India("TTIBI")는 일본의 Toyota Tsusho Insurance Management Corporation 산하에 설립된 2008년 인도의 주요 보험 중개 회사.
- Eicher Motors는 인도의 주요 자동차 제조업체로, Royal Enfield Motors 브랜드로 오토바이와 Volvo Group과 합작으로 VE Commercial Vehicles (VECV) 브랜드로 상용차를 제조함.
- 두 회사는 TTIBI 사이트의 Eicher 전용 하위 도메인을 통해 어떤 형태의 보험 파트너십을 맺고 있음.
보험료 계산기
- MY EICHER 안드로이드 앱을 분석하는 과정에서 보험료 계산기로 연결되는 URL을 발견함.
- 이메일 발송 메커니즘을 클라이언트 측에서 제어하는 코드를 발견하고, API 요청을 시도해본 결과, 예상과 달리 서버 오류와 함께 이메일 발송 로그가 반환됨.
- 로그에서 base64로 인코딩된 비밀번호를 찾아낼 수 있었으며, 이는 심각한 보안 문제로 이어짐.
이메일 계정
- "noreply" 이메일 계정은 고객에게 자동화된 이메일을 보내는 데 사용되며, 이 경우에는 고객에게 보낸 모든 것의 기록을 가지고 있었음.
- 이메일 계정을 통해 개인/민감한 정보가 담긴 보험 정책, OTP, 비밀번호 재설정 링크 등을 볼 수 있었으며, Microsoft 클라우드 자원에도 접근 가능했음.
보안 문제의 완벽한 폭풍
- 이 취약점은 5가지 불행한 보안 문제/실수로 인해 발생함.
- 문제 #1: 클라이언트가 제어하는 이메일 발송 기능을 만들지 말 것.
- 문제 #2: API 인증 누락.
- 문제 #3: API 응답 유출.
- 문제 #4: 이중 인증 부재.
- 문제 #5: 이메일 보존 문제.
비밀번호는 여전히 변경되지 않음
- TTIBI는 취약점을 인지한 후 5개월이 넘도록 이메일 계정의 비밀번호를 변경하지 않았으며, 여전히 로그인이 가능함.
- Microsoft로부터의 비정상적인 로그인에 대한 경고가 없었던 것에 대해 놀라움을 표함.
타임라인
- TTIBI는 Toyota의 HackerOne 취약점 공개 프로그램에 포함되지 않아, 대신 인도의 CERT-In에 취약점을 보고함.
- 2023년 8월 7일부터 12월 22일까지의 보고, 응답, 확인 과정을 거쳐 취약점이 해결됨을 확인하고, 버그 바운티 보상에 대한 논의가 있었으나 TTIBI는 응답하지 않아 사례가 종결됨.
GN⁺의 의견
- 이 사건은 기업의 클라우드 보안과 데이터 보호의 중요성을 강조함. 간단한 웹사이트 취약점이 큰 보안 위협으로 이어질 수 있음을 보여줌.
- 보안 문제를 신속하게 해결하지 않는 기업의 태도는 고객 데이터 보호에 대한 신뢰를 손상시킬 수 있음.
- 이 사례는 소프트웨어 개발자와 IT 관리자에게 보안 관행을 재검토하고 강화할 필요성을 일깨워줌.
Hacker News 의견
-
문화적 문제와 관리 방식
한 IT 대기업에서 일하는 비인도인으로서, 개발자들이 자기 실현을 하거나 주도적으로 일하는 것을 막고, 저렴하게 일을 처리하는 관리 방식에 대해 문제를 제기함. 미국이었다면 회사를 그만뒀을 것이지만, 인도에서는 그러지 못하는 상황을 지적함.
-
관리진의 기술적 배경 부족
대부분의 관리진이 기술 배경이 없어서 잘못된 점을 듣고 싶어 하지 않으며, 개발자들이 서로 다른 분야에 대해 소통하지 않고 각자의 영역에만 집중하도록 만드는 분리된 작업 환경을 비판함.
-
예산과 보안 문제
큰 프로젝트에서도 사소한 비용을 두고 논쟁하는 경우를 언급하며, 보안팀의 예산이 가장 먼저 삭감되는 문제를 지적함.
-
개발자의 역할과 혁신 문화 부재
개발자들이 혁신적이지 않고, 단순히 지시받은 대로 일하는 콜센터와 같은 환경에서 일하는 것에 대한 비판을 제시함.
-
금융 정보의 취약한 보안
과거 자동차 딜러의 금융 정보 저장 방식의 취약점을 발견했지만, 보안 문제에 대한 인식 부족으로 신고하지 않았던 경험을 공유함.
-
기업의 부주의한 보안 관리
고객 문서를 이메일 계정에 저장하는 등의 부주의한 보안 관리에 대해 기업의 관리 부실을 비판함.
-
개발자의 의도적인 보안 허점
다른 나라의 개발자들이 정부에 판매하기 위해 의도적으로 보안 허점을 만들 수 있다는 의혹을 제기함.
-
보안 문제에 대한 무관심
TTIBI가 보안 취약점에 대해 알고 있음에도 불구하고 여전히 비밀번호를 변경하지 않은 문제를 지적함.
-
클라이언트 사이드 자바스크립트를 통한 취약점
클라이언트 사이드 자바스크립트를 통해 발견된 취약점으로 인해 SharePoint와 Outlook에 대한 접근이 가능한 심각한 보안 문제를 언급함.
-
인도의 전력 문제와 데이터 유출
인도의 전력 문제가 데이터 유출보다 더 큰 문제라고 언급하며, 인도의 인프라 발전에 대한 기대를 표현함.
-
보안 취약점의 미신고 문제
보안 취약점을 신고하지 않는 문제에 대해 법적 책임을 요구하는 의견을 제시함.
-
이메일 모니터링의 부재
이메일 모니터링의 부재와 이로 인한 비정상적인 활동 감지 실패를 지적함.
-
버그 바운티에 대한 무관심
TTIBI가 버그 바운티에 대한 질문에 응답하지 않고, 보안 문제를 적절히 처리하지 않는 태도를 비판함.