HackerNews 编译，转载请注明出处：

由一系列配置错误和安全漏洞导致研究人员能够访问存储在 Toyota Tsusho Insurance Broker India (TTIBI) 的电子邮件帐户中的客户信息。

美国研究人员 Eaton Zveare 解释说，之所以能未经授权访问客户信息，是因为 TTIBI 站点具有专用的 Eicher Motors 子域，其中包含一个高级计算器。

TTIBI 是日本 Toyota Tsusho Insurance Management Corporation 旗下的一家保险经纪公司，似乎与 Eicher Motors 密切合作，这是一家印度汽车公司，生产摩托车和商用车辆。

据 Zveare 称，他发现 Eicher Android 应用程序包含一个指向 ttibi.co.in 上的高级计算器的链接，通过这个链接获得了对 [email protected] 电子邮件地址的访问权限。该链接在页面源代码中暴露了一个客户端的邮件发送机制。

研究人员创建了一个 API 请求来检查是否需要身份验证，并成功发送了一封电子邮件，但也收到了一个服务器错误，其中包括“noreply”电子邮件帐户的 base64 编码密码。

“noreply 帐户可能是组织中最重要的帐户，因为它可能记录了他们向客户发送的所有内容。在 TTIBI 这个事例中，情况确实如此，而且所揭示的信息量是巨大的，” Zveare指出。

在电子邮件帐户中，研究人员找到了发送给客户的所有的消息记录，其中包括客户信息、密码重置链接、一次性密码（OTP）和保险单文件。

此外，对电子邮件帐户的访问还提供了对 TTIBI 的 Microsoft 云帐户的访问权限，包括对企业目录以及 SharePoint 和 Teams 服务的访问权限。

Zveare 指出，扩展的访问级别是由五个安全问题和配置错误引起的，分别是：客户端的邮件发送机制、缺乏 API 身份验证、API 响应泄漏信息、缺乏双因素身份验证以及保留了从该帐户发送和接收的所有电子邮件。

据 Zveare 称，TTIBI 花了两个月的时间将 Eicher 子域下线，并要求对暴露的 API 进行身份验证。然而，研究人员在 1 月 17 日验证访问权限时，’noreply’电子邮件帐户的密码仍然相同。

---

消息来源：securityweek，译者：Claire；  

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文