web analytics

Data Breach OTP Leasing – CVD

OTP Leasing face parte din grupul OTP Bank, acționarii majoritari fiind OTP Bank România și Merkantil Bank Ungaria (parte a Merkantil Ungaria).

În România este prezent din 2007 și oferă un portofoliu variat de leasing financiar destinat persoanelor juridice și persoanelor fizice autorizate pentru achiziția de autoturisme, camioane, autoutilitare, echipamente și utilaje.

Până în jurul datei de 11.05.2022 persoane neautorizate au avut acces la datele personale și financiare ale clienților OTP Leasing, ce erau disponibile în platforma MyLeasing și sincronizate totodată cu informațiile din Charisma.

În data de 03.03.2022 am creat un cont de utilizator în platforma MyLeasing, unde ar fi trebuit să văd date cu privire la un contract de Leasing pe care îl administrez și tot din acea platformă ar fi trebuit să pot genera cererea de scoatere a autoturismului din țară. În dashboard-ul contului creat am văzut că ar fi fost undeva la 2.700 de conturi și peste 15.000 de contracte dar fiind o perioadă foarte aglomerată pentru mine am crezut că este un simplu text de marketing prin care OTP Leasing scoate în față faptul că clienții săi ar avea și câte zece contracte de leasing, fără să verific dacă nu cumva erau linkuri sub acele numere.

Data Breach OTP Leasing

În data de 09.03.2022 am primit datele de autentificare pe email dar din nou nu am avut timp să și verific dacă au alocat contractul pe contul pe care deja îl creasem sau este unul nou.

Abia luna următoare mi-am dat seama când am vrut să plătesc creditul că am acces deplin la datele personale ale 2.715 clienți activi OTP Leasing și peste 15.490 contracte , incluzând nume, prenume, nume societate, număr de telefon, adresa email, serie șasiu, echipamente, contract, situație financiară și multe alte date pe care este mai bine să nu ajungă vreodată online. Tot ce am crezut până atunci că ar fi dummy data erau de fapt datele clienților OTP iar contul creat din interfața web oferea drepturi de administrator în platformă. Presupunerea mea este că acele 2715 conturi au fost create prin Charisma.

Lipsa măsurilor minime de securitate în materie de  drepturi de acces pentru utilizatorii acestei platforme, împreună cu lipsa unei monitorizări a acțiunilor utilizatorilor pot fi decisive în existența unei companii dacă persoana care are acces la aceste date le exploatează în scopuri malițioase. Cu atât mai mult cu cât sectorul financiar este poate cel mai râvnit de către actori ai unor țări nu tocmai prietenoase cu România. Dovadă este și faptul că în luna mai au existat mai multe atacuri cibernetice asupra băncii din grupul OTP.

Data Breach OTP Leasing

Securitatea rețelelor și a sistemelor informatice înseamnă capacitatea unei rețele și a unui sistem informatic de a rezista, la un nivel de încredere dat, oricărei acțiuni care compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate / transmise / prelucrate ori a serviciilor conexe oferite de rețeaua / de sistemele informatice respective sau accesibile prin intermediul acestora.

În securitatea informației, o vulnerabilitate este o slăbiciune a unui calculator sau a unei rețele, ce permite unui atacator să reducă asigurarea informației. Vulnerabilitatea este intersecția a trei elemente: susceptibilitatea unui sistem sau defectul, accesul atacatorului la defect și capacitatea atacatorului de a exploata defectul.

În contextul OTP Leasing vina principală este aroganța (vezi imediat de ce), nepăsarea și incompetența.

OTP Leasing hacked

Într-o eră în care informațiile nu mai stau la bancă în registru de hârtie ci pe hard diskuri, unele companii au înființat inclusiv departamente de Digital Transformation deci te aștepți să ai totuși un partener de discuție. Totuși, OTP Leasing a ignorat cu succes 3 emailuri prin care îi notificam asupra datelor pe care mi le expuneau în interfața de client. Toni Tătaru chiar mi-a și vizitat profilul de LinkedIn, dar a preferat să nu se implice.

Ei bine, ăsta e momentul acela când îmi vine să le urc toată baza pe forumuri rusești și să se descurce singuri mai departe în toate campaniile de fraudă ce ar urma. E și un pic penibil, adică îți spune cineva că ai uitat cheile în ușă și ai 3 oameni în casă care tocmai ți-o golesc și efectiv nu îți pasă. Asta îmi aduce aminte de o altă companie care făcuse pentru un client ceva site pe OpenCart și l-au hăckuit niște băieți, au pus conținut în japoneză și project managerul era supărat că l-am deranjat de la nu știu ce petrecere, că știe că așa e site-ul de o săptămână dar a crezut că e de la browserul lui doar. Magazin online, carduri, date personale, dar oamenii sunt sensibili dacă îi deranjezi de la petrecere.

Revenind la OTP, abia pe 2 mai s-a întors din concediu o angajată care a tras bățul scurt și au pus-o să ma sune pentru că deja ajunsesem să spamez CEO-ul companiei. Care angajată, deși spunea că ar fi avut poziție de C level, nu înțelegea nici măcar 20% din ce riscuri explicam în raport și cumva sentimentul personal a fost din zona de flower-power.

Clienti Data Breach OTP Leasing

În principiu puteam să văd și să editez datele personale ale oricărui client activ OTP Leasing pe care îl găseam în platformă (de la clienți cu un autoturism până la flote și echipamente industriale), puteam să șterg utilizatorii cu drept de administrare fără să fiu logat nicăieri (! vorbesc cât se poate de serios), IDOR-uri peste tot de la contracte până la rapoarte financiare, dar le luăm pe rând în capturile de mai jos ca să le pot exemplifica cât mai bine. Și chiar dacă probabil nu e prima oară când citești un CVD, reiau explicațiile vulnerabilităților tocmai pentru a fi ușor de înțeles și de către persoane non tehnice.

OTP Leasing a fost avantajat că a primit și video-uri, pdf-uri cu poze, un adevărat manual de training.

Clienti Data Breach OTP Leasing

După cum spuneam într-un articol trecut, cele mai multe atacuri cibernetice sunt silent iar datele cu caracter personal și credențialele sunt comercializate pentru foarte foarte mulți bani pe darkweb.

Impersonalizarea unui client oferă posibilitatea unui actor malițios de a vizualiza datele personale ale reprezentantului companiei client, de a vizualiza informații cu privire la obiectul contractului de leasing inclusiv seria de șasiu a unui autovehicul, facturile, facturile scadente precum și plățile efectuate.

Ca exemplu de aplicabilitate, pe baza unui comportament firesc al unui utilizator OTP Leasing, cu cunoștințe minime tehnice despre cum funcționează un portal web, cum funcționează un browser și internetul în general, un potențial atacator inclusiv un actor din categoria spionajului economic poate avea acces la toate contractele înregistrate în portalul suport.otp-leasing.ro, le poate descărca cu ajutorul unui offline browser și ulterior poate genera cu ușurință o campanie de phishing coordonată, poate folosi acele date în scopuri comerciale putând fi vândute către alte companii de leasing sau de creditare dornice să refinanțeze creditele în favoarea lor sau chiar să ofere pachete de produse complementare. Spionajul economic e real și chiar se întâmplă.

La fel de bine nu știm încă la cât de multe persoane a ajuns deja accesul cu drept de administrator în platforma MyLeasing, cert este că poți orchestra campanii de phishing de câteva zeci de milioane de euro cu ajutorul profilelor obținute.

Această breșă de securitate era în mediul producție, nu vreun sandbox sau vreun server de staging și reprezintă o încălcare majoră în materie de protecție a datelor cu caracter personal având în vedere că persoanele desemnate ca fiind responsabile de contractele OTP Leasing din partea clientului final utilizează de exemplu numele,  numărul de telefon și adresa de email personale, multe dintre acestea nefiind asociate neapărat companiei pentru care încheiat contractul de Leasing.

Nu am informații cu privire la vechimea acestor vulnerabilități, cât au fost disponibile, câte persoane au accesat anterior bazele de date OTP Leasing, cert este că nu s-a autosesizat nimeni că era un utilizator cu drepturi administrative care nu era angajat OTP 🙂 Asta face diferența între a fi ethical sau a merge în zone gri ale legislației, că puteam să rămân administrator luni de zile și nu se prindea nimeni. La un moment dat am văzut că a mai apărut încă o utilizatoare cu drepturi administrative după mine, deci cred cu toată sinceritatea că nu aveau niciun sistem de prevenire sau de alertare.

delete-user-otp-leasing

În exemplul de mai sus nu eram autentificat nici măcar cu drepturile unui client normal OTP Leasing, fiind incognito, și cu toate acestea puteam să șterg utilizatori (xxx@xx.com era tot al meu).

De asemenea, mai vorbim și de o vulnerabilitate de tip IDOR, de o vulnerabilitate care de fapt este un bug ușor de exploatat de către persoane care nu au cunoștințe tehnice, însă înțeleg cum funcționează internetul, cum funcționează un browser și au o gândire ușor analitică. Atacurile de tip IDOR sunt de mai multe feluri iar în cazul nostru specific vorbim de o modificare a adresei URL. Nu vorbim de manipularea corpului conținutului paginii, nu vorbim de solicitări HTTP făcute cu un BurpSuite sau cu alte tool-uri ci vorbim doar de o simplă schimbare a adresei URL, fiind autentificat ca orice client simplu, fără privilegii administrative. Cu toate acestea o simplă schimbare de ID din URL returnează informații valoroase pentru orice atacator.

Într-una din capturile prezentate în continuare, simpla modificare a ID-ului de document duce la afișarea neautorizată a scadențarului sau documentelor altor utilizatori, chiar din interfața clientului.

scadentar-otp
factura
plati2
plati
firma2
firma1

Din dorința de a fi cu un pas înaintea competitorilor și oferirea unor servicii online într-un ritm alert, deseori se încalcă flagrant principiile prelucrării datelor cu caracter personal în ceea ce privește securitatea adecvată a datelor cu caracter personal. Măsurile împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare sunt deseori puse pe un loc secund și astfel drepturile persoanei vizate nu sunt respectate și pot duce la prejudicii financiare considerabile. Lipsa confidențialității și nerespectarea unor drepturi fundamentale ale persoanelor vizate (chiar dacă sunt fără reaua intenție a operatorului) pot risca amenzi din partea ANSPDCP și în funcție de prejudiciul creat putem discuta chiar și de despăgubiri de către clienți. – Iulian C – Data Protection Officer in sector financiar.

Cum raportul meu a fost circulat destul de mult în interiorul organizației, nu există o persoană de contact care să fie și factor de decizie. De la CEO am ajuns la COO, ultimul mail fiind primit în spam (!) de pe o adresa de marketing@ . Acum, fiecare companie își administrează resursele după propriile posibilități, dar să desemnezi departamentul de marketing ca fiind responsabil de comunicarea cu cineva care îți raportează un data breach masiv, cred că este o eroare pentru că ar trebui să existe și o înțelegere a implicațiilor, nu doar un forward la un email. Dar repet, este treaba fiecăruia de a își administra propriile resurse și mai ales priorități după cum consideră că este benefic pentru organizația sa.

Important este că până la momentul publicării acestui articol nu am primit niciun răspuns din partea OTP Leasing deși am oferit dreptul la replică.

Coordinated Vulnerability Disclosure
Ai suspiciuni asupra unei aplicații web că ar putea procesa date cu caracter personal într-un mod nelegitim?

Scrie-mi un mesaj și hai să vedem împreună cum putem ajuta procesatorul de date cu caracter personal să poată remedia vulnerabilitatea în timp util, înainte de a putea fi exploatată de către persoane rău intenționate.

  1. Sunt cateva franturi in logica aici si e ceva ce imi scapa in politica otp: cum sa vezi mailul si sa il ignori? ce treaba are marketingul cu brese de securitate? Iti dai seama cati bani valorau contractele alea daca le ofertai concurentei?

  2. Raluka Mitran 3 iunie 2022 at 22:51

    Intr-o zi o sa te calce o masina neagra, jur. :))))

  3. urmatorul pas ar fi sa aflam ca tin parolele in text clar in baza de date

  4. Silviu Moisa 3 iunie 2022 at 23:12

    bai nu mai da din-astea ca intru in depresie. din cauza ta am ajuns sa stau cu yubikey pe calculator la munca

  5. vineri seara cand echipa de PR e la mare deja 😛

  6. nastase gabriela-ramona 3 iunie 2022 at 23:55

    Parca vad la stiri: “un hacker israelian a sustras datele OTP … ” 🙂

  7. Domnisoara cu care spui ca te-ai văzut cred ca știu cine este și da, ea e cu focus pe customer care service, știe sa zâmbească și a avut o ascensiune fulger, cu Head of Digital Transformation, Marketing, COO, e un adevărat LinkedIn în semnătură. Dar e depășită pentru ca nu e specificul ei

    • Dupa cum ii descrii ascensiunea, imi pare ca e foarte priceputa la altceva…

  8. … nu stiu de ce dar aveam asteptari macar la nivelul lor sa inteleaga zona asta de ethical …

  9. Ismail Paine de Circ 5 iunie 2022 at 09:36

    OTP e banca? aveam impresia ca e ceva biserica adventista de ziua a saptea :))) cumplm sa-ti faci credit la astia?

  10. Astia sunt retardati. La OTP Leasing ma refer. Este incredibil ce am citit in acest articol.

    Cuvantul incompetenta, este mult prea usor pt ca descrie ce se intampla.

    Cristian Iosub