Empresa de tecnologia de carga dos EUA expôs publicamente seus sistemas de transporte e dados de clientes na web

Durante o ano passado, investigadores de segurança têm instado a indústria naval global a reforçar as suas defesas cibernéticas depois de uma onda de roubos de carga ter sido associada a hackers. Os investigadores dizem ter visto hacks elaborados visando empresas de logística para sequestrar e redirecionar grandes quantidades de produtos dos seus clientes para as mãos de criminosos, no que se tornou um conluio alarmante entre hackers e gangues do crime organizado da vida real.

UM caminhão de entrega de vapes roubados aqui, um suspeita de roubo de lagosta lá.

Uma empresa de tecnologia de transporte marítimo pouco conhecida e crítica dos EUA passou os últimos meses corrigindo seus próprios sistemas após a descoberta de uma série de vulnerabilidades simples, que inadvertidamente deixaram as portas de sua plataforma de remessa abertas para qualquer pessoa na Internet.

A empresa é a Bluvoyix, uma empresa sediada em Nova Iorque cuja plataforma de transporte e cadeia de abastecimento, Bluvoyix, permite que centenas de grandes empresas transportem os seus produtos e rastreiem a sua carga à medida que esta viaja pelo mundo. Embora Bluspark possa não ser um nome familiar, a empresa ajuda a abastecer uma grande fatia das remessas de carga em todo o mundo, incluindo gigantes do varejo, supermercados, fabricantes de móveis e muito mais. O software da empresa também é utilizado por diversas outras empresas afiliadas ao Bluspark.

Bluspark disse ao TechCrunch esta semana que seus problemas de segurança foram resolvidos. A empresa corrigiu cinco falhas em sua plataforma, incluindo o uso de senhas em texto simples por funcionários e clientes e a capacidade de acessar e interagir remotamente com o software de remessa da Bluvoyix. As falhas expuseram o acesso a todos os dados do cliente, incluindo os registros de remessa, que datam de décadas atrás.

Mas para o pesquisador de segurança Eaton Zveare, que descobriu as vulnerabilidades nos sistemas do Bluspark em outubro, alertar a empresa sobre as falhas de segurança demorou mais do que a descoberta dos próprios bugs – já que o Bluspark não tinha uma maneira perceptível de contatá-lo.

Em um agora publicado postagem no blogZveare disse que enviou detalhes das cinco falhas na plataforma do Bluspark ao Vila de hackers marítimosuma organização sem fins lucrativos que trabalha para proteger o espaço marítimo e, como neste caso, ajuda os investigadores a notificar as empresas que trabalham na indústria marítima sobre falhas de segurança activas.

Semanas depois e após vários e-mails, mensagens de voz e mensagens do LinkedIn, a empresa não respondeu a Zveare. Enquanto isso, as falhas ainda poderiam ser exploradas por qualquer pessoa na internet.

Como último recurso, Zveare contatou o TechCrunch em um esforço para sinalizar os problemas.

O TechCrunch enviou e-mails ao CEO da Bluspark, Ken O’Brien, e à liderança sênior da empresa, alertando-os sobre uma falha de segurança, mas não recebeu resposta. Mais tarde, o TechCrunch enviou um e-mail a um cliente da Bluspark, uma empresa de varejo de capital aberto dos EUA, para alertá-lo sobre a falha de segurança upstream, mas também não recebemos resposta.

Na terceira vez que o TechCrunch enviou um e-mail ao CEO do Bluspark, incluímos uma cópia parcial de sua senha para demonstrar a gravidade do lapso de segurança.

Algumas horas depois, o TechCrunch recebeu uma resposta – de um escritório de advocacia que representa o Bluspark.

Senhas em texto simples e uma API não autenticada

Em sua postagem no blog, Zveare explicou que descobriu inicialmente as vulnerabilidades depois de visitar o site de um cliente Bluspark.

Zveare escreveu que o site do cliente tinha um formulário de contato que permitia que clientes em potencial fizessem perguntas. Ao visualizar o código-fonte da página da web com as ferramentas integradas de seu navegador, Zveare percebeu que o formulário enviaria a mensagem do cliente através dos servidores do Bluspark por meio de sua API. (Uma API permite que dois ou mais sistemas conectados se comuniquem pela internet; neste caso, um formulário de contato do site e a caixa de entrada do cliente Bluspark.)

Como o código de envio de e-mail estava incorporado na própria página web, isso significava que era possível que qualquer pessoa modificasse o código e abusasse deste formulário para enviar e-mails maliciososcomo iscas de phishing, provenientes de um cliente real do Bluspark.

Zveare colou o endereço da web da API em seu navegador, que carregou uma página contendo a documentação gerada automaticamente da API. Esta página da web era um lista mestre de todas as ações que podem ser realizadas com a API da empresa, como solicitar lista de usuários que possuem acesso às plataformas Bluspark, bem como criar novas contas de usuários.

A página de documentação da API também tinha um recurso que permitia a qualquer pessoa “testar” a API enviando comandos para recuperar dados dos servidores do Bluspark como um usuário logado.

Zveare descobriu que a API, apesar da página alegar que exigia autenticação para uso, não precisava de senha ou quaisquer credenciais para retornar informações confidenciais dos servidores do Bluspark.

Usando apenas a lista de comandos da API, Zveare conseguiu recuperar resmas de registros de contas de usuários de funcionários e clientes que usam a plataforma Bluspark, totalmente não autenticados. Isso incluía nomes de usuário e senhas, que eram visível em texto simples e não criptografado — incluindo uma conta associada ao administrador da plataforma.

Com o nome de usuário e a senha do administrador em mãos, um invasor pode ter feito login nesta conta e enlouquecido. Como pesquisador de segurança de boa fé, Zveare não poderia usar as credenciais, pois usar a senha de outra pessoa sem sua permissão é ilegal.

Como a documentação da API listava um comando que permitia a qualquer pessoa criar um novo usuário com acesso de administrador, Zveare foi em frente e fez exatamente isso, obtendo acesso irrestrito à sua plataforma de cadeia de suprimentos Bluvoyix. Zveare disse que o nível de acesso do administrador permitiu a visualização de dados de clientes já em 2007.

Zveare descobriu que, uma vez logado com esse usuário recém-criado, cada solicitação de API era agrupada em um token específico do usuário, que visava garantir que o usuário tivesse de fato permissão para acessar uma página do portal cada vez que clicasse em um link. Mas o token não foi necessário para completar o comando, permitindo que Zveare enviasse solicitações sem o token, confirmando ainda mais que a API não estava autenticada.

Bugs corrigidos, empresa planeja nova política de segurança

Depois de estabelecer contato com o escritório de advocacia Bluspark, Zveare deu permissão ao TechCrunch para compartilhar uma cópia de seu relatório de vulnerabilidade com seus representantes.

Dias depois, o escritório de advocacia disse que o Bluspark corrigiu a maioria das falhas e estava trabalhando para contratar uma empresa terceirizada para uma avaliação independente.

Os esforços de Zveare para divulgar os bugs destacam um problema comum no mundo da segurança cibernética. Muitas vezes, as empresas não fornecem uma forma, como um endereço de e-mail listado publicamente, de alertá-las sobre vulnerabilidades de segurança. Como tal, isto pode tornar um desafio para os investigadores de segurança revelar publicamente falhas de segurança que permanecem ativas, devido à preocupação de que a divulgação de detalhes possa colocar os dados dos utilizadores em risco.

Ming Lee, advogado que representa a Bluspark, disse ao TechCrunch na terça-feira que a empresa está “confiante nas medidas tomadas para mitigar o risco potencial decorrente das descobertas do pesquisador”, mas não quis comentar sobre os detalhes das vulnerabilidades ou suas correções; informar qual empresa de avaliação terceirizada contratou, se houver; ou comentar sobre suas práticas específicas de segurança.

Quando questionado pelo TechCrunch, o Bluspark não disse se foi capaz de verificar se alguma das remessas de seus clientes foi manipulada por alguém que explorava os bugs de forma maliciosa. Lee disse que “não houve indicação de impacto no cliente ou atividade maliciosa atribuível aos problemas identificados pelo pesquisador”. A Bluspark não quis dizer quais evidências possuía para chegar a essa conclusão.

Lee disse que o Bluspark estava planejando introduzir um programa de divulgação, permitindo que pesquisadores de segurança externos relatassem bugs e falhas à empresa, mas que suas discussões ainda estavam em andamento.

O CEO da Bluspark, Ken O’Brien, não fez comentários para este artigo.

Para entrar em contato com este repórter com segurança, você pode entrar em contato usando o Signal através do nome de usuário: zackwhittaker.1337