Công ty công nghệ vận chuyển hàng hóa của Hoa Kỳ đã công khai hệ thống vận chuyển và dữ liệu khách hàng của mình trên web

Trong năm qua, các nhà nghiên cứu bảo mật đã kêu gọi ngành vận tải biển toàn cầu tăng cường phòng thủ mạng sau khi một loạt vụ trộm hàng hóa có liên quan đến tin tặc. Các nhà nghiên cứu cho biết họ đã chứng kiến ​​các vụ hack phức tạp nhắm vào các công ty hậu cần để chiếm đoạt và chuyển một lượng lớn sản phẩm của khách hàng vào tay bọn tội phạm, điều đã trở thành sự thông đồng đáng báo động giữa tin tặc và các băng nhóm tội phạm có tổ chức ngoài đời thực.

Một chiếc xe chở thuốc lá điện tử bị đánh cắp ở đây, một vụ cướp tôm hùm bị nghi ngờ ở đó.

Một công ty công nghệ vận chuyển ít được biết đến và quan trọng của Hoa Kỳ đã dành vài tháng qua để vá các hệ thống của riêng mình sau khi phát hiện ra một loạt lỗ hổng đơn giản, vô tình khiến cánh cửa nền tảng vận chuyển của họ mở rộng cho bất kỳ ai trên internet.

Công ty là Bluspark Global, một công ty có trụ sở tại New York có nền tảng chuỗi cung ứng và vận chuyển Bluvoyix, cho phép hàng trăm công ty lớn vận chuyển sản phẩm của họ và theo dõi hàng hóa của họ khi nó di chuyển khắp thế giới. Mặc dù Bluspark có thể không phải là một cái tên quen thuộc nhưng công ty này giúp cung cấp năng lượng cho một lượng lớn các chuyến hàng vận chuyển hàng hóa trên toàn thế giới, bao gồm các đại gia bán lẻ, cửa hàng tạp hóa, nhà sản xuất đồ nội thất, v.v. Phần mềm của công ty cũng được một số công ty khác liên kết với Bluspark sử dụng.

Bluspark nói với TechCrunch tuần này rằng các vấn đề bảo mật của nó hiện đã được giải quyết. Công ty đã sửa năm lỗi trong nền tảng của mình, bao gồm việc nhân viên và khách hàng sử dụng mật khẩu văn bản gốc cũng như khả năng truy cập và tương tác từ xa với phần mềm vận chuyển của Bluvoyix. Các lỗ hổng đã làm lộ quyền truy cập vào tất cả dữ liệu của khách hàng, bao gồm cả hồ sơ lô hàng của họ, có từ nhiều thập kỷ trước.

Nhưng đối với nhà nghiên cứu bảo mật Eaton Zveare, người đã phát hiện ra các lỗ hổng trong hệ thống của Bluspark vào tháng 10, việc cảnh báo cho công ty về các lỗ hổng bảo mật mất nhiều thời gian hơn việc tự phát hiện ra các lỗi – vì Bluspark không có cách nào rõ ràng để liên hệ với nó.

Trong một bài đăng trên blog hiện đã được xuất bản, Zveare cho biết ông đã gửi thông tin chi tiết về 5 lỗ hổng trong nền tảng của Bluspark tới Maritime Hacking Village, một tổ chức phi lợi nhuận hoạt động để đảm bảo không gian hàng hải và, như trường hợp này, giúp các nhà nghiên cứu thông báo cho các công ty làm việc trong ngành hàng hải về các lỗ hổng bảo mật đang hoạt động.

Nhiều tuần sau, sau nhiều email, thư thoại và tin nhắn LinkedIn, công ty vẫn chưa phản hồi với Zveare. Trong khi đó, các lỗ hổng vẫn có thể bị khai thác bởi bất kỳ ai trên Internet.

Như một phương sách cuối cùng, Zveare đã liên hệ với TechCrunch với nỗ lực khắc phục sự cố.

TechCrunch đã gửi email tới Giám đốc điều hành Bluspark Ken O’Brien và lãnh đạo cấp cao của công ty để cảnh báo họ về lỗ hổng bảo mật nhưng không nhận được phản hồi. TechCrunch sau đó đã gửi email cho một khách hàng của Bluspark, một công ty bán lẻ giao dịch công khai của Hoa Kỳ, để cảnh báo họ về sai sót bảo mật thượng nguồn, nhưng chúng tôi cũng không nhận được phản hồi.

Vào lần thứ ba TechCrunch gửi email cho Giám đốc điều hành của Bluspark, chúng tôi đã gửi kèm một phần bản sao mật khẩu của anh ấy để chứng minh mức độ nghiêm trọng của sai sót bảo mật.

Vài giờ sau, TechCrunch nhận được phản hồi – từ một công ty luật đại diện cho Bluspark.

Mật khẩu văn bản gốc và API không được xác thực

Trong bài đăng trên blog của mình, Zveare giải thích ban đầu anh phát hiện ra các lỗ hổng sau khi truy cập trang web của một khách hàng Bluspark.

Zveare viết rằng trang web của khách hàng có một biểu mẫu liên hệ cho phép khách hàng tiềm năng đưa ra yêu cầu. Bằng cách xem mã nguồn trang web bằng các công cụ tích hợp trong trình duyệt của mình, Zveare nhận thấy biểu mẫu sẽ gửi thông báo của khách hàng qua máy chủ của Bluspark thông qua API của nó. (API cho phép hai hoặc nhiều hệ thống được kết nối giao tiếp với nhau qua internet; trong trường hợp này là biểu mẫu liên hệ trên trang web và hộp thư đến của khách hàng Bluspark.)

Vì mã gửi email đã được nhúng vào chính trang web nên điều này có nghĩa là bất kỳ ai cũng có thể sửa đổi mã và lạm dụng biểu mẫu này để gửi các email độc hại, chẳng hạn như mồi nhử lừa đảo, bắt nguồn từ một khách hàng thực sự của Bluspark.

Zveare đã dán địa chỉ web của API vào trình duyệt của mình, trang này đã tải một trang chứa tài liệu được tạo tự động của API. Trang web này là danh sách tổng thể tất cả các hành động có thể được thực hiện bằng API của công ty, chẳng hạn như yêu cầu danh sách người dùng có quyền truy cập vào nền tảng của Bluspark, cũng như tạo tài khoản người dùng mới.

Trang tài liệu API cũng có một tính năng cho phép mọi người có khả năng “kiểm tra” API bằng cách gửi lệnh truy xuất dữ liệu từ máy chủ của Bluspark với tư cách là người dùng đã đăng nhập.

Zveare nhận thấy rằng API, mặc dù trang tuyên bố rằng nó yêu cầu xác thực để sử dụng nhưng không cần mật khẩu hoặc bất kỳ thông tin xác thực nào để trả về thông tin nhạy cảm từ máy chủ của Bluspark.

Chỉ sử dụng danh sách các lệnh API, Zveare đã có thể truy xuất hàng loạt hồ sơ tài khoản người dùng của nhân viên và khách hàng sử dụng nền tảng của Bluspark, hoàn toàn không được xác thực. Điều này bao gồm tên người dùng và mật khẩu, hiển thị ở dạng văn bản gốc và không được mã hóa – bao gồm cả tài khoản được liên kết với quản trị viên của nền tảng.

Với tên người dùng và mật khẩu của quản trị viên trong tay, kẻ tấn công có thể đã đăng nhập vào tài khoản này và chạy điên cuồng. Là một nhà nghiên cứu bảo mật có thiện chí, Zveare không thể sử dụng thông tin đăng nhập vì sử dụng mật khẩu của người khác mà không có sự cho phép của họ là bất hợp pháp.

Vì tài liệu API liệt kê một lệnh cho phép bất kỳ ai tạo người dùng mới với quyền truy cập của quản trị viên, Zveare đã tiếp tục thực hiện điều đó và có quyền truy cập không hạn chế vào nền tảng chuỗi cung ứng Bluvoyix của mình. Zveare cho biết cấp độ truy cập của quản trị viên đã cho phép xem dữ liệu khách hàng từ năm 2007.

Zveare nhận thấy rằng sau khi đăng nhập bằng người dùng mới tạo này, mỗi yêu cầu API sẽ được gói trong một mã thông báo dành riêng cho người dùng, nhằm đảm bảo người dùng trên thực tế được phép truy cập trang cổng thông tin mỗi khi họ nhấp vào liên kết. Nhưng mã thông báo không cần thiết để hoàn thành lệnh, cho phép Zveare gửi yêu cầu hoàn toàn mà không cần mã thông báo, xác nhận thêm rằng API chưa được xác thực.

Đã sửa lỗi, công ty lên kế hoạch cho chính sách bảo mật mới

Sau khi thiết lập liên hệ với công ty luật Bluspark, Zveare đã cho phép TechCrunch chia sẻ bản sao báo cáo về lỗ hổng của mình với các đại diện của công ty.

Vài ngày sau, công ty luật cho biết Bluspark đã khắc phục hầu hết các sai sót và đang nỗ lực thuê một công ty bên thứ ba để đánh giá độc lập.

Những nỗ lực của Zveare nhằm tiết lộ các lỗi này nêu bật một vấn đề phổ biến trong thế giới an ninh mạng. Các công ty thường không cung cấp cách thức, chẳng hạn như địa chỉ email được liệt kê công khai, để cảnh báo họ về các lỗ hổng bảo mật. Do đó, điều này có thể gây khó khăn cho các nhà nghiên cứu bảo mật trong việc tiết lộ công khai các lỗ hổng bảo mật vẫn còn hoạt động, vì lo ngại rằng việc tiết lộ chi tiết có thể khiến dữ liệu của người dùng gặp rủi ro.

Ming Lee, luật sư đại diện cho Bluspark, nói với TechCrunch hôm thứ Ba rằng công ty “tin tưởng vào các bước được thực hiện để giảm thiểu rủi ro tiềm ẩn phát sinh từ phát hiện của nhà nghiên cứu”, nhưng sẽ không bình luận về chi tiết cụ thể của các lỗ hổng hoặc cách khắc phục chúng; cho biết công ty đánh giá bên thứ ba nào được giữ lại, nếu có; hoặc nhận xét về các biện pháp bảo mật cụ thể của nó.

Khi được TechCrunch hỏi, Bluspark sẽ không cho biết liệu họ có thể xác định liệu có bất kỳ chuyến hàng nào của khách hàng của mình bị thao túng bởi ai đó đang khai thác lỗi một cách ác ý hay không. Lee cho biết “không có dấu hiệu nào cho thấy tác động của khách hàng hoặc hoạt động độc hại liên quan đến các vấn đề được nhà nghiên cứu xác định”. Bluspark không cho biết có bằng chứng gì để đưa ra kết luận đó.

Lee cho biết Bluspark đang có kế hoạch giới thiệu một chương trình tiết lộ thông tin, cho phép các nhà nghiên cứu bảo mật bên ngoài báo cáo các lỗi và sai sót cho công ty, nhưng các cuộc thảo luận vẫn đang được tiến hành.

Giám đốc điều hành Bluspark Ken O’Brien không đưa ra bình luận cho bài viết này.

Để liên hệ với người báo cáo này một cách an toàn, bạn có thể liên hệ bằng Signal qua tên người dùng: zackwhittaker.1337

Bài viết liên quan

Chuyên Mục: Tin tức
Bài trước
Công ty bảo mật AI, deepfirst, công bố Series A trị giá 40 triệu USD
Bài sau
Microsoft khai thác Varaha của Ấn Độ để thực hiện loại bỏ carbon bền vững