Durante el año pasado, los investigadores de seguridad han estado instando a la industria naviera mundial a reforzar sus defensas cibernéticas después de que una serie de robos de carga estuvieran relacionados con piratas informáticos. Los investigadores dicen que han visto elaborados ataques dirigidos a empresas de logística para secuestrar y redirigir grandes cantidades de productos de sus clientes a manos de delincuentes, en lo que se ha convertido en una alarmante colusión entre piratas informáticos y bandas del crimen organizado de la vida actual.
A camión de reparto de vaporizadores robados aquí, un sospecha de robo de langosta allá.
Una empresa estadounidense de tecnología de envío poco conocida y crítica ha pasado los últimos meses parcheando sus propios sistemas tras el descubrimiento de una serie de vulnerabilidades simples, que sin darse cuenta dejaron las puertas de su plataforma de envío abiertas a cualquier persona en Web.
La empresa es Bluspark International, una empresa con sede en Nueva York cuya plataforma de envío y cadena de suministro, Bluvoyix, permite a cientos de grandes empresas transportar sus productos y rastrear su carga mientras viaja por todo el mundo. Si bien Bluspark puede no ser un nombre acquainted, la compañía ayuda a impulsar una gran parte de los envíos de carga en todo el mundo, incluidos gigantes minoristas, tiendas de comestibles, fabricantes de muebles y más. El software program de la empresa también lo utilizan otras empresas afiliadas a Bluspark.
Bluspark le dijo a TechCrunch esta semana que sus problemas de seguridad ya están resueltos. La compañía solucionó cinco fallas en su plataforma, incluido el uso de contraseñas de texto sin formato por parte de empleados y clientes, y la capacidad de acceder e interactuar de forma remota con el software program de envío de Bluvoyix. Las fallas expusieron el acceso a todos los datos del cliente, incluidos sus registros de envío, que datan de décadas atrás.
Pero para el investigador de seguridad Eaton Zveare, quien descubrió las vulnerabilidades en los sistemas de Bluspark en octubre, alertar a la compañía sobre las fallas de seguridad tomó más tiempo que descubrir los errores en sí, ya que Bluspark no tenía una manera discernible de contactarlo.
En un ahora publicado publicación de blogZveare dijo que presentó detalles de las cinco fallas en la plataforma de Bluspark al Pueblo de piratería marítimauna organización sin fines de lucro que trabaja para proteger el espacio marítimo y, como en este caso, ayuda a los investigadores a notificar a las empresas que trabajan en la industria marítima sobre fallas de seguridad activas.
Semanas después, y tras múltiples correos electrónicos, mensajes de voz y mensajes de LinkedIn, la empresa no respondió a Zveare. Mientras tanto, cualquier persona en Web aún podría explotar las fallas.
Como último recurso, Zveare se puso en contacto con TechCrunch en un esfuerzo por detectar los problemas.
TechCrunch envió correos electrónicos al director ejecutivo de Bluspark, Ken O’Brien, y a los altos directivos de la empresa, alertándoles sobre una falla de seguridad, pero no recibió respuesta. Más tarde, TechCrunch envió un correo electrónico a un cliente de Bluspark, una empresa minorista que cotiza en bolsa en EE. UU., para alertarlo sobre la falla de seguridad ascendente, pero tampoco recibimos respuesta.
La tercera vez que TechCrunch envió un correo electrónico al CEO de Bluspark, incluimos una copia parcial de su contraseña para demostrar la gravedad de la falla de seguridad.
Un par de horas más tarde, TechCrunch recibió una respuesta de un bufete de abogados que representa a Bluspark.
Contraseñas de texto sin formato y una API no autenticada
En la publicación de su weblog, Zveare explicó que inicialmente descubrió las vulnerabilidades después de visitar el sitio net de un cliente de Bluspark.
Zveare escribió que el sitio net del cliente tenía un formulario de contacto que permitía a los clientes potenciales realizar consultas. Al ver el código fuente de la página net con las herramientas integradas de su navegador, Zveare notó que el formulario enviaba el mensaje del cliente a través de los servidores de Bluspark a través de su API. (Una API permite que dos o más sistemas conectados se comuniquen entre sí a través de Web; en este caso, un formulario de contacto del sitio net y la bandeja de entrada del cliente de Bluspark).
Dado que el código de envío de correo electrónico estaba incrustado en la propia página net, esto significaba que cualquiera podía modificar el código y abusar de este formulario para enviar correos electrónicos maliciososcomo señuelos de phishing, procedentes de un cliente actual de Bluspark.
Zveare pegó la dirección net de la API en su navegador, que cargó una página que contenía la documentación generada automáticamente por la API. Esta página net fue una lista maestra de todas las acciones que se pueden realizar con la API de la empresa, como solicitar una lista de usuarios que tienen acceso a las plataformas de Bluspark, así como crear nuevas cuentas de usuarios.
La página de documentación de la API también tenía una función que permitía a cualquiera “probar” la API enviando comandos para recuperar datos de los servidores de Bluspark como usuario registrado.
Zveare descubrió que la API, a pesar de que la página afirmaba que requería autenticación para su uso, no necesitaba una contraseña o cualquier credencial para devolver información confidencial de los servidores de Bluspark.
Utilizando solo la lista de comandos API, Zveare pudo recuperar una gran cantidad de registros de cuentas de usuarios de empleados y clientes que usan la plataforma de Bluspark, completamente sin autenticar. Esto incluía nombres de usuario y contraseñas, que eran visible en texto plano y no cifrado, incluida una cuenta asociada con el administrador de la plataforma.
Con el nombre de usuario y la contraseña del administrador en mano, un atacante podría haber iniciado sesión en esta cuenta y haberse vuelto loco. Como investigador de seguridad de buena fe, Zveare no podía utilizar las credenciales, ya que utilizar la contraseña de otra persona sin su permiso es ilegal.
Dado que la documentación de la API enumeraba un comando que permitía a cualquiera crear un nuevo usuario con acceso de administrador, Zveare siguió adelante e hizo precisamente eso, y obtuvo acceso sin restricciones a su plataforma de cadena de suministro Bluvoyix. Zveare dijo que el nivel de acceso del administrador permitía ver los datos de los clientes ya en 2007.
Zveare descubrió que una vez que iniciaba sesión con este usuario recién creado, cada solicitud de API estaba envuelta en un token específico del usuario, cuyo objetivo period garantizar que el usuario pudiera acceder a una página del portal cada vez que hacía clic en un enlace. Pero el token no period necesario para completar el comando, lo que permitió a Zveare enviar solicitudes sin el token, lo que confirma aún más que la API no estaba autenticada.
Errores solucionados, la empresa planea una nueva política de seguridad
Después de establecer contacto con el bufete de abogados de Bluspark, Zveare dio permiso a TechCrunch para compartir una copia de su informe de vulnerabilidad con sus representantes.
Días después, el bufete de abogados dijo que Bluspark había solucionado la mayoría de las fallas y estaba trabajando para contratar a una empresa externa para una evaluación independiente.
Los esfuerzos de Zveare por revelar los errores resaltan un problema común en el mundo de la ciberseguridad. A menudo, las empresas no ofrecen una forma, como una dirección de correo electrónico pública, de alertarlas sobre vulnerabilidades de seguridad. Como tal, esto puede dificultar que los investigadores de seguridad revelen públicamente fallas de seguridad que permanecen activas, por temor a que revelar detalles pueda poner en riesgo los datos de los usuarios.
Ming Lee, un abogado que representa a Bluspark, dijo a TechCrunch el martes que la compañía “confía en las medidas tomadas para mitigar el riesgo potencial que surge de los hallazgos del investigador”, pero no quiso comentar sobre los detalles específicos de las vulnerabilidades o sus soluciones; indicar qué empresa de evaluación externa contrató, si la hubiera; o comentar sobre sus prácticas de seguridad específicas.
Cuando TechCrunch le preguntó, Bluspark no dijo si pudo determinar si alguno de los envíos de sus clientes había sido manipulado por alguien que explotaba maliciosamente los errores. Lee dijo que “no había indicios de impacto en el cliente o actividad maliciosa atribuible a los problemas identificados por el investigador”. Bluspark no dijo qué pruebas tenía para llegar a esa conclusión.
Lee dijo que Bluspark estaba planeando introducir un programa de divulgación, que permitiría a investigadores de seguridad externos informar errores y fallas a la compañía, pero que las discusiones aún estaban en curso.
El director ejecutivo de Bluspark, Ken O’Brien, no hizo comentarios para este artículo.
Para contactar de forma segura con este reportero, puede comunicarse usando Sign a través del nombre de usuario: zackwhittaker.1337
