Durante el año pasado, los investigadores de seguridad han instado a la industria naviera mundial a fortalecer sus defensas cibernéticas después de una serie de robos de carga por parte de piratas informáticos. Los investigadores dicen que fueron testigos de un hack elaborado dirigido a una empresa de logística para secuestrar una gran cantidad de productos de los clientes y redirigirlos a manos de delincuentes, lo que marca una colusión alarmante entre los piratas informáticos y los grupos del crimen organizado de la vida real.
Aquí hay un camión de reparto de cigarrillos electrónicos robado y se sospecha un robo de langosta.
Una de las empresas estadounidenses de tecnología marítima menos conocida pero importante ha pasado los últimos meses parcheando sus sistemas después de que se descubrieran una serie de vulnerabilidades simples. La vulnerabilidad, sin darse cuenta, dejó la puerta de su plataforma de envío abierta a cualquier persona en Internet.
La empresa es Bluspark Global, con sede en Nueva York, cuya plataforma de cadena de suministro y envío Bluvoyix permite a cientos de grandes empresas transportar productos y realizar un seguimiento de los envíos a medida que se mueven por el mundo. Puede que Bluspark no sea un nombre familiar, pero la compañía impulsa una gran parte del transporte de carga en todo el mundo, incluidos gigantes minoristas, tiendas de comestibles, fabricantes de muebles y más. El software de la empresa también lo utilizan otras empresas asociadas con Bluspark.
Bluspark le dijo a TechCrunch esta semana que el problema de seguridad ya se ha resuelto. La compañía solucionó cinco fallas en su plataforma, incluido el uso de contraseñas de texto sin cifrar por parte de empleados y clientes y la capacidad de acceder y manipular de forma remota el software de envío de Bluvoyix. La falla expuso el acceso a todos los datos de los clientes, incluidos los registros de envío que datan de décadas atrás.
Pero para Eaton Zveare, el investigador de seguridad que descubrió la vulnerabilidad en los sistemas de Bluspark en octubre, alertar a la compañía sobre la falla de seguridad tomó más tiempo que descubrir el error en sí porque Bluspark no tenía medios de identificación para contactarlo.
En una publicación de blog ahora publicada, Zveare dijo que envió detalles de cinco fallas en la plataforma de Bluspark a Maritime Hacking Village. Maritime Hacking Village es una organización sin fines de lucro que trabaja para proteger el espacio marítimo y ayuda a los investigadores a notificar a las empresas de la industria marítima sobre fallas de seguridad activas, como en este caso.
Semanas después, y tras múltiples correos electrónicos, mensajes de voz y mensajes de LinkedIn, la empresa no había respondido a Zveare. Mientras tanto, cualquiera en Internet podría aprovechar esta falla.
Como último recurso, Zveare se puso en contacto con TechCrunch e intentó que señalaran el problema.
TechCrunch envió un correo electrónico al director ejecutivo de Bluspark, Ken O’Brien, y a los altos ejecutivos de la empresa para alertarlos sobre la falla de seguridad, pero no recibió respuesta. Posteriormente, TechCrunch envió un correo electrónico a los clientes de Bluspark, un minorista estadounidense que cotiza en bolsa, advirtiéndoles sobre el problema de seguridad ascendente, pero tampoco recibió respuesta.
Cuando TechCrunch envió un tercer correo electrónico al director ejecutivo de Bluspark, incluía una copia parcial de su contraseña para demostrar la gravedad de la falla de seguridad.
Unas horas más tarde, TechCrunch recibió una respuesta del bufete de abogados que representa a Bluspark.
Contraseñas de texto sin formato y API no autenticadas
Zveare explicó en una publicación de blog que descubrió la vulnerabilidad después de visitar por primera vez el sitio web de un cliente de Bluspark.
Zubair escribió que el sitio web del cliente tenía un formulario de contacto donde los clientes potenciales podían realizar consultas. Al ver el código fuente de la página web en las herramientas integradas del navegador, Zveare se dio cuenta de que el formulario enviaba el mensaje del cliente a través de los servidores de Bluspark a través de una API. (Las API permiten que dos o más sistemas conectados se comuniquen entre sí a través de Internet; en este caso, el formulario de contacto de su sitio web y la bandeja de entrada de su cliente de Bluspark).
Debido a que el código de envío de correo electrónico estaba incrustado en la propia página web, cualquiera podría modificar el código y explotar este formulario para enviar correos electrónicos maliciosos, incluidas estafas de phishing originadas por clientes reales de Bluspark.
Zveare pegó la dirección web de la API en su navegador, que cargó una página que contenía documentación generada automáticamente para la API. Esta página web era una lista maestra de todas las acciones que se podían realizar con la API de la empresa, como solicitar una lista de usuarios con acceso a la plataforma de Bluspark y crear nuevas cuentas de usuario.
La página de documentación de la API también incluía una función que permitía a cualquiera «probar» la API enviando comandos para recuperar datos de los servidores de Bluspark como usuario registrado.
Zveare descubrió que la API no requiere contraseñas ni credenciales para devolver información confidencial de los servidores de Bluspark, a pesar de que la página afirma que se requiere autenticación para usarla.
Usando solo una lista de comandos API, Zveare pudo recuperar una gran cantidad de registros de cuentas de usuario para empleados y clientes que usaban la plataforma de Bluspark de una manera completamente no autenticada. Esto incluía nombres de usuarios y contraseñas mostrados sin cifrar y en texto claro, incluidas cuentas asociadas con los administradores de la plataforma.
Una vez que un atacante haya obtenido el nombre de usuario y la contraseña del administrador, podría iniciar sesión en esta cuenta y ejecutar desenfrenadamente. Zveare, un auténtico investigador de seguridad, no pudo utilizar las credenciales porque es ilegal utilizar la contraseña de otra persona sin permiso.
La documentación de la API incluía un comando que permitiría a cualquiera crear un nuevo usuario con acceso de administrador, por lo que Zveare hizo precisamente eso y obtuvo acceso sin restricciones a la plataforma de la cadena de suministro de Bluvoyix. Zveare dijo que el nivel de acceso de administrador le permitió ver datos de clientes que se remontan a 2007.
Zveare descubrió que cuando iniciaba sesión con este usuario recién creado, cada solicitud de API estaba envuelta con un token específico del usuario. Esto fue para garantizar que cada vez que un usuario hiciera clic en un enlace se le otorgara acceso a la página del portal. Sin embargo, dado que no se requirió ningún token para completar el comando, Zveare pudo enviar la solicitud sin usar ningún token, lo que confirmó aún más que la API no estaba autenticada.
Errores solucionados y la empresa planea nuevas políticas de seguridad.
Después de establecer contacto con el bufete de abogados de Bluspark, Zveare dio permiso a TechCrunch para compartir una copia de su informe de vulnerabilidad con sus representantes.
Días después, el despacho de abogados anunció que Bluspark estaba trabajando para reparar la mayoría de las deficiencias y contratar una firma externa para una evaluación independiente.
Los esfuerzos de Zveare por exponer el error resaltan un problema común en el mundo de la ciberseguridad. Las empresas a menudo no ofrecen una forma de alertarle sobre vulnerabilidades de seguridad, como hacer pública su dirección de correo electrónico. Esto puede dificultar que los investigadores de seguridad revelen públicamente fallas de seguridad activas, debido a la preocupación de que revelar los detalles pueda poner en riesgo los datos de los usuarios.
Ming Lee, un abogado que representa a Bluspark, dijo a TechCrunch el martes que la compañía «confía en las medidas tomadas para mitigar los riesgos potenciales que surgen de los hallazgos de los investigadores», pero no comentó sobre los detalles de la vulnerabilidad o su solución. Si es así, identifique qué empresa de evaluación externa se utilizó. O comente sobre sus prácticas de seguridad específicas.
En respuesta a las preguntas de TechCrunch, Bluspark se negó a decir si pudo confirmar si los envíos a los clientes habían sido explotados maliciosamente por alguien con el error. Lee dijo que «no hay indicios de impacto en el cliente o actividad maliciosa resultante de los problemas identificados por nuestros investigadores». Bruce Spark se negó a decir qué evidencia se necesitaba para llegar a esa conclusión.
Lee dijo que Bluspark planea introducir un programa de divulgación que permitiría a investigadores de seguridad externos informar errores y fallas a la compañía, pero esas discusiones aún están en curso.
El director ejecutivo de Bluspark, Ken O’Brien, no hizo comentarios para este artículo.
Para contactar a este reportero de forma segura, use Signal con el nombre de usuario zackwhittaker.1337.
Source link
