因配置错误和安全漏洞，丰田保险公司客户信息遭泄露

一系列配置错误和安全漏洞导致研究人员能够访问存储在丰田通商保险经纪印度公司（TTIBI）电子邮件帐户中的客户信息。美国研究员伊顿·兹维亚尔（Eaton Zveare）解释称，由于TTIBI网站存在一个专用的Eicher Motors子域并携带高级计算器，未经授权的访问变得可能。TTIBI是日本丰田通商保险管理公司（Toyota Tsusho Insurance Management Corporation）旗下的保险经纪人，与印度汽车公司Eicher Motors有着密切的合作伙伴关系，该公司专注于摩托车和商用车的生产。

根据Zveare的描述，他在发现Eicher Android应用程序中包含指向ttibi.co.in上高级计算器的链接后，成功获得了对noreplyeicher@ttibi.co.in电子邮件地址的访问权限。该链接在页面源中暴露了客户端电子邮件发送机制。研究人员创建了一个API请求来检查是否需要身份验证，并成功发送了电子邮件，但也遇到了服务器错误，其中包括“noreply”电子邮件帐户的base64编码密码。Zveare指出，“noreply”帐户可能是组织中最重要的帐户，因为它可能记录了他们发送给客户的所有内容。在TTIBI的案例中，这揭示的信息量是巨大的。

在电子邮件帐户中，研究人员发现了发送给客户的所有消息的记录，包括客户信息、密码重置链接、一次性密码（OTP）和保险单文件。此外，对电子邮件帐户的访问还提供了对TTIBI的Microsoft云帐户的访问权限，包括对公司目录以及SharePoint和Teams服务的访问。Zveare指出，扩展的访问级别是五个安全问题和错误配置的结果：客户端电子邮件发送机制、缺乏API身份验证、API响应泄漏信息、缺乏双因素身份验证以及保留从帐户发送和接收的所有电子邮件。

据Zveare表示，TTIBI花费了两个月的时间才使Eicher子域下线，并要求对公开的API进行身份验证机制。然而，在研究人员于1月17日验证访问权限时，“noreply”电子邮件帐户的密码仍然相同。