Son bir yıl içinde, güvenlik araştırmacıları dünya çapında taşımacılık sektörüne siber savunmalarını güçlendirmeleri konusunda baskı yapıyor. Hırsızlık olaylarının artması, bu vakaların hackerlarla organize suç çeteleri arasında bir işbirliği haline geldiğini ortaya koyuyor.
Bir çalıntı vape araçları taşıyan tır ve bir istiridye soygunu gibi çeşitli olaylar, durumu daha da gözler önüne seriyor.
Nispeten az bilinen ve kritik öneme sahip bir ABD taşımacılık teknoloji şirketi, son birkaç ayda kendi sistemlerindeki basit açıkları kapatmaya odaklandı. Bu açıklar, internet üzerinden herkesin erişimine açık bir şekilde taşımacılık platformunu savunmasız bırakıyordu.
Bluspark Global, New York merkezli bir firma, Bluvoyix adlı taşımacılık ve tedarik zinciri platformu sayesinde büyük şirketlerin ürünlerini dünya genelinde taşımalarına ve kargolarını takip etmelerine olanak tanıyor. Bluspark, genel olarak tanınmasa da, dünya çapındaki büyük yük taşımalarının önemli bir bölümünü destekliyor; perakende devleri, marketler, mobilya üreticileri ve daha fazlası bu şirketin yazılımını kullanıyor.
Bluspark, TechCrunch’a yaptığı açıklamada, güvenlik sorunlarının çözüldüğünü bildirdi. Şirket, çalışanlar ve müşteriler tarafından kullanılan düz metin şifreleri gibi beş hatayı düzeltti ve Bluvoyix’in yazılımına uzaktan erişim sağlanmasını engelledi. Bu açıklar, yıllarca geriye giden müşteri verilerine erişimi ortaya koyuyordu.
Ama Ekim ayında Bluspark’ın sistemlerindeki açıkları tespit eden güvenlik araştırmacısı Eaton Zveare, şirketle iletişime geçmenin hataları bulmaktan daha uzun sürdüğünü açıkladı çünkü Bluspark ile iletişim kurmak için belirgin bir yol yoktu.
Zveare, yayınladığı bir blog gönderisinde, Bluspark’ın platformundaki beş açığı detaylandırdı ve Maritime Hacking Village adlı kar amacı gütmeyen kuruluşa bu bilgileri sundu. Bu kuruluş, denizcilik alanındaki şirketleri aktif güvenlik açıkları hakkında bilgilendirmeye yardımcı oluyor.
Haftalar sonra, birçok e-posta, sesli mesaj ve LinkedIn mesajının ardından, Zveare’a hala cevap gelmedi. Bu sırada açıklar, internetten herkes tarafından kullanılabilir durumdaydı.
Son çare olarak Zveare, sorunları bildirmek için TechCrunch ile iletişime geçti.
TechCrunch, Bluspark CEO’su Ken O’Brien ve şirketin üst düzey yöneticilerine güvenlik açığına dikkat çeken e-postalar gönderdi ancak cevap alamadı. Daha sonra, Bluspark’ın bir müşterisine, ABD’de halka açık bir perakende firmasına, yukarıda bahsedilen güvenlik açığı hakkında bilgi vermek üzere e-posta gönderdi fakat onlardan da yanıt alamadı.
TechCrunch, Bluspark’ın CEO’suna üçüncü kez e-posta gönderdiğinde, güvenlik açığının ciddiyetini göstermek için CEO’nun şifresinin kısmi bir kopyasını ekledi.
Birkaç saat sonra TechCrunch, Bluspark’ı temsil eden bir avukattan bir yanıt aldı.
Plaintext Şifreler ve Kimlik Doğrulamayan API
Zveare, blog yazısında açıkları ilk olarak Bluspark müşterisinin web sitesini ziyaret ederken keşfettiğini belirtiyor. Müşterinin web sitesinde, potansiyel müşterilerin soru sormasına olanak tanıyan bir iletişim formu bulunuyordu. Zveare, tarayıcısının yerleşik araçlarıyla sayfa kaynağını görüntüleyerek, formun müşterinin mesajını Bluspark’ın sunucuları aracılığıyla gönderdiğini fark etti.
Bu durum, herhangi birinin kodu değiştirebileceği ve formu kullanarak zararlı e-postalar gönderebileceği anlamına geliyordu.
Zveare, API’nin web adresini tarayıcısına yapıştırarak, API’nin otomatik olarak oluşturulmuş belgelerini içeren bir sayfa yükledi. Bu sayfa, şirketin API’sinin tüm işlemlerinin bir master listesini içeriyordu; bu liste, Bluspark’ın platformlarına erişimi olan kullanıcıların listesini talep etme gibi komutları içeriyordu.
API belgelendirme sayfasında, herhangi birinin API’yi “test etmesine” olanak tanıyan bir özellik de vardı.
Zveare, sayfa bunun için kimlik doğrulama gerektirdiğini söylese de şifreye ihtiyaç duymuyordu.
Bu komut listesini kullanarak, Zveare kimlik doğrulaması olmadan Bluspark’ın platformunu kullanan çalışanlar ve müşterilere ait çok sayıda hesap kaydı elde etti. Bu bilgiler, düz metin olarak görünür ve şifrelenmemiş bir şekilde görüntüleniyordu; yönetici ile ilişkili olan bir hesap da dahil.
Yönetici kullanıcı adı ve şifresine sahip olan bir saldırgan, bu hesaba giriş yapabilirdi. Zveare, iyi niyetli bir güvenlik araştırmacısı olarak, başkalarının şifresini izinsiz kullanamazdı.
API belgeleri, kullanıcıların yeni bir kullanıcı oluşturmasına izin veren bir komut içeriyordu ve Zveare bu işlemi gerçekleştirdi. Böylece, Bluvoyix tedarik zinciri platformuna sınırsız erişim kazandı. Bu erişim, müşteri verilerine 2007 yılına kadar ulaşma imkânı sağlıyordu.
Zveare, bu yeni oluşturulan kullanıcıyla giriş yaptıktan sonra, her API isteğinin bir kullanıcıya özel belirteçle sarıldığını gördü. Ancak bu belirteç, komut tamamlamak için gerekli değil; dolayısıyla Zveare, belirteç olmadan da taleplerde bulunabildi. Bu durum, API’nin kimlik doğrulama gerektirmediğini bir kez daha doğruladı.
Hatalar giderildi, şirket yeni bir güvenlik politikası oluşturmayı planlıyor
Zveare, Bluspark’ın avukatıyla iletişime geçtikten sonra, TechCrunch’ın güvenlik açığı raporunun bir kopyasını paylaşmasına izin verdi.
Birkaç gün sonra, avukatlar Bluspark’ın hataların çoğunu giderdiğini ve bağımsız bir değerlendirme için üçüncü bir şirketle iş birliği yapmayı planladığını bildirdi.
Zveare’ın hataları bildirme çabası, siber güvenlik alanındaki yaygın bir sorunu ortaya koyuyor. Şirketler genellikle, güvenlik açıkları hakkında kendilerine bildirimde bulunulması için bir kamuya açık e-posta adresi gibi yollar sunmuyor. Bu durum, güvenlik araştırmacılarının aktif kalmaya devam eden güvenlik açıklarını kamuya açıklamasını zorlaştırıyor.
Ming Lee, Bluspark’ı temsil eden bir avukat, TechCrunch’a yaptığı açıklamada, şirketin “araştırmacının bulgularından doğabilecek olası riskleri azaltmak için alınan önlemlerden emin olduğunu” belirtti. Ancak, güvenlik açıklarının detayları veya düzeltmeleri hakkında yorum yapmadı.
TechCrunch’ın sorularına cevap vermeyen Bluspark, tespit ettikleri sorunların herhangi birinin müşteri taşımalarını etkileyip etkilemediğini de belirtmedi. Lee, “araştırmacının belirlediği sorunlardan müşterilerin etkilendiğine dair bir belirti bulunmadığını” ifade etti, ancak bu sonuca varmak için hangi kanıtların kullanıldığını söylemedi.
Bluspark, dış güvenlik araştırmacılarının hataları bildirmesine olanak tanıyan bir açıklama programı başlatmayı planlıyor, ancak bu konuda halen görüşmelerin sürdüğünü belirtti.
Bluspark CEO’su Ken O’Brien, bu makale için yorum yapmadı.
Bu muhabire güvenli bir şekilde ulaşmak için Signal üzerinden zackwhittaker.1337 kullanıcı adıyla iletişime geçebilirsiniz.
