Τον περασμένο χρόνο, ερευνητές ασφάλειας παροτρύνουν την παγκόσμια ναυτιλιακή βιομηχανία να ενισχύσει την άμυνα στον κυβερνοχώρο μετά από μια σειρά κλοπών φορτίου που συνδέονταν με χάκερ. Οι ερευνητές λένε ότι έχουν δει περίτεχνα hacks που στοχεύουν εταιρείες logistics για να κλέβουν και να ανακατευθύνουν μεγάλες ποσότητες προϊόντων των πελατών τους στα χέρια εγκληματιών, σε κάτι που έχει γίνει μια ανησυχητική συμπαιγνία μεταξύ χάκερ και συμμοριών οργανωμένου εγκλήματος.
ΕΝΑ φορτηγό παράδοσης κλεμμένων ατμών εδώ, α ύποπτη ληστεία αστακού εκεί.
Μια ελάχιστα γνωστή και κρίσιμη ναυτιλιακή εταιρεία τεχνολογίας των ΗΠΑ έχει περάσει τους τελευταίους μήνες επιδιορθώνοντας τα δικά της συστήματα μετά την ανακάλυψη μια σειρά από απλά τρωτά σημεία, που άφησαν άθελά τους τις πόρτες στην πλατφόρμα αποστολής της ορθάνοιχτες σε οποιονδήποτε στο διαδίκτυο.
Η εταιρεία είναι η Bluspark Global, μια εταιρεία με έδρα τη Νέα Υόρκη, της οποίας η πλατφόρμα αποστολής και εφοδιαστικής αλυσίδας, η Bluvoyix, επιτρέπει σε εκατοντάδες μεγάλες εταιρείες να μεταφέρουν τα προϊόντα τους και να παρακολουθούν το φορτίο τους καθώς ταξιδεύει σε όλο τον κόσμο. Αν και το Bluspark μπορεί να μην είναι γνωστό, η εταιρεία βοηθά στην τροφοδοσία ενός μεγάλου τμήματος παγκόσμιων αποστολών εμπορευμάτων, συμπεριλαμβανομένων κολοσσών λιανικής, παντοπωλείων, κατασκευαστών επίπλων και άλλων. Το λογισμικό της εταιρείας χρησιμοποιείται επίσης από πολλές άλλες εταιρείες που συνδέονται με την Bluspark.
Η Bluspark είπε στο TechCrunch αυτή την εβδομάδα ότι τα ζητήματα ασφαλείας της έχουν πλέον επιλυθεί. Η εταιρεία διόρθωσε πέντε ελαττώματα στην πλατφόρμα της, συμπεριλαμβανομένης της χρήσης κωδικών πρόσβασης απλού κειμένου από υπαλλήλους και πελάτες και τη δυνατότητα απομακρυσμένης πρόσβασης και αλληλεπίδρασης με το λογισμικό αποστολής της Bluvoyix. Τα ελαττώματα αποκάλυψαν την πρόσβαση σε όλα τα δεδομένα των πελατών, συμπεριλαμβανομένων των αρχείων αποστολής τους, που χρονολογούνται δεκαετίες πριν.
Αλλά για τον ερευνητή ασφάλειας Eaton Zveare, ο οποίος αποκάλυψε τα τρωτά σημεία στα συστήματα του Bluspark τον Οκτώβριο, η ειδοποίηση της εταιρείας για τα ελαττώματα ασφαλείας χρειάστηκε περισσότερο από την ανακάλυψη των ίδιων των σφαλμάτων – αφού η Bluspark δεν είχε κανέναν τρόπο να επικοινωνήσει μαζί της.
Σε ένα δημοσιευμένο τώρα ανάρτηση ιστολογίουο Zveare είπε ότι υπέβαλε λεπτομέρειες για τα πέντε ελαττώματα στην πλατφόρμα του Bluspark στο Maritime Hacking Villageμια μη κερδοσκοπική οργάνωση που εργάζεται για τη διασφάλιση του θαλάσσιου χώρου και, όπως και σε αυτήν την περίπτωση, βοηθά τους ερευνητές να ενημερώσουν τις εταιρείες που εργάζονται στη ναυτιλιακή βιομηχανία για ελαττώματα ενεργητικής ασφάλειας.
Εβδομάδες αργότερα και μετά από πολλά μηνύματα ηλεκτρονικού ταχυδρομείου, φωνητικά μηνύματα και μηνύματα LinkedIn, η εταιρεία δεν είχε απαντήσει στο Zveare. Όλο αυτό το διάστημα, τα ελαττώματα θα μπορούσαν να εξακολουθήσουν να γίνονται αντικείμενο εκμετάλλευσης από οποιονδήποτε στο Διαδίκτυο.
Ως έσχατη λύση, η Zveare επικοινώνησε με την TechCrunch σε μια προσπάθεια να επισημανθούν τα ζητήματα.
Η TechCrunch έστειλε μηνύματα ηλεκτρονικού ταχυδρομείου στον διευθύνοντα σύμβουλο της Bluspark, Ken O’Brien και στην ανώτερη ηγεσία της εταιρείας, ειδοποιώντας τους για ένα σφάλμα ασφαλείας, αλλά δεν έλαβε απάντηση. Αργότερα, η TechCrunch έστειλε email σε έναν πελάτη της Bluspark, μια εταιρεία λιανικής που είναι εισηγμένη στο χρηματιστήριο των ΗΠΑ, για να τον ειδοποιήσει για το σφάλμα ασφαλείας στο upstream, αλλά επίσης δεν λάβαμε νέα.
Την τρίτη φορά που η TechCrunch έστειλε μήνυμα ηλεκτρονικού ταχυδρομείου στον Διευθύνοντα Σύμβουλο της Bluspark, συμπεριλάβαμε ένα μερικό αντίγραφο του κωδικού πρόσβασής του για να δείξουμε τη σοβαρότητα του σφάλματος ασφαλείας.
Λίγες ώρες αργότερα, το TechCrunch έλαβε μια απάντηση — από μια δικηγορική εταιρεία που εκπροσωπούσε την Bluspark.
Κωδικοί πρόσβασης απλού κειμένου και ένα API χωρίς έλεγχο ταυτότητας
Στην ανάρτησή του στο blog του, ο Zveare εξήγησε ότι αρχικά ανακάλυψε τα τρωτά σημεία αφού επισκέφτηκε τον ιστότοπο ενός πελάτη του Bluspark.
Ο Zveare έγραψε ότι ο ιστότοπος του πελάτη είχε μια φόρμα επικοινωνίας που επέτρεπε στους υποψήφιους πελάτες να κάνουν ερωτήσεις. Προβάλλοντας τον πηγαίο κώδικα της ιστοσελίδας με τα ενσωματωμένα εργαλεία του προγράμματος περιήγησής του, ο Zveare παρατήρησε ότι η φόρμα θα έστελνε το μήνυμα του πελάτη μέσω των διακομιστών του Bluspark μέσω του API του. (Ένα API επιτρέπει σε δύο ή περισσότερα συνδεδεμένα συστήματα να επικοινωνούν μεταξύ τους μέσω του Διαδικτύου· σε αυτήν την περίπτωση, μια φόρμα επικοινωνίας ιστότοπου και τα εισερχόμενα του πελάτη Bluspark.)
Εφόσον ο κωδικός αποστολής email ήταν ενσωματωμένος στην ίδια την ιστοσελίδα, αυτό σήμαινε ότι ήταν δυνατό για οποιονδήποτε να τροποποιήσει τον κώδικα και να κάνει κατάχρηση αυτής της φόρμας αποστολή κακόβουλων emailόπως τα θέλγητρα phishing, που προέρχονται από έναν πραγματικό πελάτη της Bluspark.
Ο Zveare επικόλλησε τη διεύθυνση ιστού του API στο πρόγραμμα περιήγησής του, το οποίο φόρτωσε μια σελίδα που περιείχε την τεκμηρίωση του API που δημιουργήθηκε αυτόματα. Αυτή η ιστοσελίδα ήταν α κύρια λίστα όλων των ενεργειών που μπορούν να εκτελεστούν με το API της εταιρείας, όπως η αίτηση λίστας χρηστών που έχουν πρόσβαση στις πλατφόρμες του Bluspark, καθώς και η δημιουργία νέων λογαριασμών χρηστών.
Η σελίδα τεκμηρίωσης API είχε επίσης μια δυνατότητα που επέτρεπε σε οποιονδήποτε να «δοκιμάσει» το API υποβάλλοντας εντολές για την ανάκτηση δεδομένων από τους διακομιστές του Bluspark ως συνδεδεμένος χρήστης.
Η Zveare διαπίστωσε ότι το API, παρά το γεγονός ότι η σελίδα ισχυριζόταν ότι απαιτούσε έλεγχο ταυτότητας για χρήση, δεν χρειαζόταν κωδικό πρόσβασης ή τυχόν διαπιστευτήρια για την επιστροφή ευαίσθητων πληροφοριών από τους διακομιστές του Bluspark.
Χρησιμοποιώντας μόνο τη λίστα των εντολών API, το Zveare μπόρεσε να ανακτήσει ομάδες αρχείων λογαριασμών χρηστών εργαζομένων και πελατών που χρησιμοποιούν την πλατφόρμα του Bluspark, εντελώς χωρίς έλεγχο ταυτότητας. Αυτό περιελάμβανε ονόματα χρήστη και κωδικούς πρόσβασης, τα οποία ήταν ορατό σε απλό κείμενο και όχι κρυπτογραφημένο — συμπεριλαμβανομένου ενός λογαριασμού που σχετίζεται με τον διαχειριστή της πλατφόρμας.
Με το όνομα χρήστη και τον κωδικό πρόσβασης του διαχειριστή στα χέρια, ένας εισβολέας θα μπορούσε να έχει συνδεθεί σε αυτόν τον λογαριασμό και να τρέξει αμόκ. Ως καλόπιστος ερευνητής ασφάλειας, ο Zveare δεν μπορούσε να χρησιμοποιήσει τα διαπιστευτήρια, καθώς η χρήση του κωδικού πρόσβασης κάποιου άλλου χωρίς την άδειά του είναι παράνομη.
Δεδομένου ότι η τεκμηρίωση του API απαριθμούσε μια εντολή που επέτρεπε σε οποιονδήποτε δημιουργήστε έναν νέο χρήστη με πρόσβαση διαχειριστή, η Zveare προχώρησε και έκανε ακριβώς αυτό και απέκτησε απεριόριστη πρόσβαση στην πλατφόρμα της εφοδιαστικής αλυσίδας Bluvoyix. Ο Zveare είπε ότι το επίπεδο πρόσβασης του διαχειριστή επέτρεψε την προβολή δεδομένων πελατών ήδη από το 2007.
Ο Zveare διαπίστωσε ότι μόλις συνδεόταν με αυτόν τον πρόσφατα δημιουργημένο χρήστη, κάθε αίτημα API ήταν τυλιγμένο σε ένα διακριτικό συγκεκριμένου χρήστη, το οποίο είχε σκοπό να διασφαλίσει ότι ο χρήστης είχε στην πραγματικότητα πρόσβαση σε μια σελίδα πύλης κάθε φορά που έκανε κλικ σε έναν σύνδεσμο. Αλλά το διακριτικό δεν ήταν απαραίτητο για την ολοκλήρωση της εντολής, επιτρέποντας στον Zveare να στέλνει αιτήματα χωρίς το διακριτικό εντελώς, επιβεβαιώνοντας περαιτέρω ότι το API δεν ήταν πιστοποιημένο.
Διορθώθηκαν σφάλματα, η εταιρεία σχεδιάζει νέα πολιτική ασφαλείας
Αφού δημιούργησε επαφή με τη δικηγορική εταιρεία της Bluspark, ο Zveare έδωσε στην TechCrunch την άδεια να μοιραστεί ένα αντίγραφο της αναφοράς ευπάθειας του με τους εκπροσώπους της.
Μέρες αργότερα, η δικηγορική εταιρεία είπε ότι η Bluspark είχε αποκαταστήσει τα περισσότερα από τα ελαττώματα και εργαζόταν για να διατηρήσει μια εταιρεία τρίτου μέρους για μια ανεξάρτητη αξιολόγηση.
Οι προσπάθειες του Zveare να αποκαλύψει τα σφάλματα υπογραμμίζουν ένα κοινό πρόβλημα στον κόσμο της κυβερνοασφάλειας. Οι εταιρείες πολλές φορές δεν παρέχουν έναν τρόπο, όπως μια δημόσια καταχωρισμένη διεύθυνση email, για να τις ειδοποιήσουν σχετικά με τρωτά σημεία ασφαλείας. Ως εκ τούτου, αυτό μπορεί να καταστήσει δύσκολο για τους ερευνητές ασφάλειας να αποκαλύψουν δημόσια ελαττώματα ασφαλείας που παραμένουν ενεργά, λόγω ανησυχιών ότι η αποκάλυψη λεπτομερειών θα μπορούσε να θέσει τα δεδομένα των χρηστών σε κίνδυνο.
Ο Ming Lee, δικηγόρος που εκπροσωπεί την Bluspark, είπε στο TechCrunch την Τρίτη ότι η εταιρεία είναι «σίγουρη για τα βήματα που λαμβάνονται για τον μετριασμό του πιθανού κινδύνου που προκύπτει από τα ευρήματα του ερευνητή», αλλά δεν σχολίασε λεπτομέρειες σχετικά με τα τρωτά σημεία ή τις διορθώσεις τους. πείτε ποια εταιρεία αξιολόγησης τρίτου μέρους διατήρησε, εάν υπάρχει· ή να σχολιάσετε τις συγκεκριμένες πρακτικές ασφαλείας του.
Όταν ρωτήθηκε από το TechCrunch, η Bluspark δεν είπε εάν ήταν σε θέση να εξακριβώσει εάν κάποια από τις αποστολές πελατών της είχαν χειραγωγηθεί από κάποιον που εκμεταλλευόταν κακόβουλα τα σφάλματα. Ο Lee είπε ότι δεν υπάρχει «καμία ένδειξη επίδρασης στον πελάτη ή κακόβουλης δραστηριότητας που να αποδίδεται στα ζητήματα που εντόπισε ο ερευνητής». Η Bluspark δεν είπε τι στοιχεία διέθετε για να καταλήξει σε αυτό το συμπέρασμα.
Ο Lee είπε ότι η Bluspark σχεδίαζε να εισαγάγει ένα πρόγραμμα αποκάλυψης, επιτρέποντας σε εξωτερικούς ερευνητές ασφάλειας να αναφέρουν σφάλματα και ελαττώματα στην εταιρεία, αλλά ότι οι συζητήσεις της ήταν ακόμη σε εξέλιξη.
Ο διευθύνων σύμβουλος της Bluspark, Ken O’Brien, δεν σχολίασε αυτό το άρθρο.
Για να επικοινωνήσετε με ασφάλεια με αυτόν τον δημοσιογράφο, μπορείτε να επικοινωνήσετε χρησιμοποιώντας το Signal μέσω του ονόματος χρήστη: zackwhittaker.1337
Via: techcrunch.com
