Vulnerabilități în sistemele de livrare ale Bluspark Global
O companie americană de tehnologie în transporturi, Bluspark Global, cu sediul în New York, a expus sistemele sale de livrare și datele clienților pe internet din cauza unor vulnerabilități de securitate. Compania dezvoltă platforma de logistică Bluvoyix, folosită de numeroase mari firme pentru a transporta și urmări produsele la nivel mondial.
Descoperirea vulnerabilităților
Un cercetător în securitate, Eaton Zveare, a identificat aceste vulnerabilități în octombrie, dar a avut dificultăți în a contacta compania pentru a le raporta. Bluspark a fost incapabilă să ofere un canal clar de comunicare pentru a alerta despre problemele de securitate. Cele cinci probleme identificate includeau utilizarea parolelor în format text și accesul neautentificat la software-ul de livrare al Bluvoyix.
Impactul asupra datelor clienților
Vulnerabilitățile expuneau datele clienților, inclusiv istoria expedierilor, datându-se până în urmă cu mai bine de un deceniu. Zveare a demonstrat că, prin intermediul unei interfețe API neautentificate, putea accesa înregistrările conturilor utilizatorilor, inclusiv parolele acestora, care erau vizibile în text simplu.
Reacția companiei și remedierea problemelor
După ce TechCrunch a alertat conducerea Bluspark, compania a confirmat că a remediat problemele de securitate și că lucrează cu o firmă terță pentru o evaluare independentă. De asemenea, Bluspark plănuiește să implementeze un program de divulgare pentru a permite cercetătorilor externi să raporteze vulnerabilitățile.
Concluzie
Exploatarea acestor vulnerabilități ar fi putut avea consecințe grave asupra securității datelor clienților și asupra integrității sistemelor de livrare. Acest incident subliniază importanța unei comunicări eficiente între cercetătorii în securitate și companiile din domeniul tehnologiilor de transport pentru a preveni astfel de situații în viitor.




