Ένας premium ιστότοπος υπολογισμών της Eicher Motors (calculator website) σε ένα subdomain της Toyota Tsusho Insurance Broker India εξέθεσε τα εταιρικά διαπιστευτήρια cloud της Microsoft.
Το API αποστολής email επέστρεφε αρχεία καταγραφής αποστολής email στον πελάτη, τα οποία περιείχαν τον κωδικό πρόσβασης του λογαριασμού του email (sic).
Αυτός ο κωδικός πρόσβασης βέβαια μπορούσε να χρησιμοποιηθεί για τη σύνδεση στο λογαριασμό email της Microsoft “noreplyeicher@ttibi.co.in”, που δεν είχε ενεργοποιημένο τον έλεγχο ταυτότητας δύο παραγόντων.
Ο λογαριασμός αυτός διέθετε αρχείο με όλα τα email που είχαν στείλει ποτέ στους πελάτες της εταιρείας, τα οποία ήταν: 657.000 μηνύματα ηλεκτρονικού ταχυδρομείου (~25 GB) που περιείχαν στοιχεία όπως πληροφορίες πελατών, PDF ασφαλιστηρίων συμβολαίων, συνδέσμους επαναφοράς κωδικών πρόσβασης, OTP και πολλά άλλα.
Ο hacker μπόρεσε να αποκτήσει πρόσβαση και σε άλλους πόρους στο cloud της Microsoft όπως αναφέρει ενδεικτικά, στο corporate directory, το SharePoint, και το Teams.
Ο hacker ενημέρωσε την εταιρεία για τις ευπάθειες και η Toyota Tsusho Insurance Broker India αφαίρεσε το ευάλωτο API 2 μήνες+ μετά την αναφορά του.
Όμως ο κωδικός πρόσβασης του email, δεν έχει αλλάξει ακόμα.
Δείτε τα βήματα του hack
https://eaton-works.com/2024/01/17/ttibi-email-hack/
