Durante un año, los investigadores de seguridad han estado pidiendo a la industria naviera mundial que intensifique sus defensas cibernéticas después de que una serie de robos de carga estuvieran relacionados con piratas informáticos. Los investigadores dicen que han visto elaborados ataques en los que las empresas de logística pretendían secuestrar grandes cantidades de productos de sus clientes y desviarlos a manos de delincuentes. Se trataba de una colusión alarmante entre piratas informáticos y verdaderas bandas del crimen organizado.
Aquí una furgoneta con cigarrillos electrónicos robados, allí un presunto robo de Hummer.
Una empresa estadounidense de tecnología marítima poco conocida y crítica ha pasado los últimos meses parcheando sus propios sistemas tras el descubrimiento. una serie de vulnerabilidades simples que, sin darse cuenta, dejaron las puertas de su plataforma de envío abiertas a cualquier persona en Internet.
La empresa es Bluspark Global, una empresa con sede en Nueva York cuya plataforma de cadena de suministro y envío Bluvoyix permite a cientos de grandes empresas transportar sus productos y rastrear su carga a medida que se mueve por todo el mundo. Si bien Bluspark puede no ser un nombre familiar, la compañía ayuda a impulsar una gran parte de los envíos de carga del mundo, incluidos gigantes minoristas, tiendas de comestibles, fabricantes de muebles y más. El software de la empresa también lo utilizan otras empresas afiliadas a Bluspark.
Bluspark le dijo a TechCrunch esta semana que los problemas de seguridad ya se han resuelto. La compañía ha solucionado cinco vulnerabilidades en su plataforma, incluido el uso de contraseñas de texto sin formato por parte de empleados y clientes y la capacidad de acceder e interactuar de forma remota con el software de envío de Bluvoyix. Las vulnerabilidades permitieron el acceso a todos los datos del cliente, incluidos sus registros de envío, desde hace décadas.
Pero para el investigador de seguridad Eaton Zveare, quien descubrió las vulnerabilidades en los sistemas de Bluspark en octubre, tomó más tiempo alertar a la compañía sobre las vulnerabilidades que descubrir las fallas en sí, porque Bluspark no tenía forma aparente de contactar a la compañía.
En una publicación de blog publicada ahora, Zveare dijo que envió detalles de las cinco vulnerabilidades en la plataforma Bluspark a Maritime Hacking Village, una organización sin fines de lucro que trabaja para proteger el espacio marítimo y, como en este caso, ayuda a los investigadores a informar a las empresas que operan en la industria marítima sobre las vulnerabilidades activas.
Semanas después y tras múltiples correos electrónicos, mensajes de voz y mensajes de LinkedIn, la empresa no había respondido a Zveare. Sin embargo, cualquier persona en Internet puede aprovechar las vulnerabilidades.
Como último recurso, Zveare se puso en contacto con TechCrunch para informar los problemas.
TechCrunch envió correos electrónicos al director ejecutivo de Bluspark, Ken O'Brien, y a la alta dirección de la empresa para alertarlos sobre una falla de seguridad, pero no recibió respuesta. Más tarde, TechCrunch envió un correo electrónico a un cliente de Bluspark, una empresa minorista estadounidense que cotiza en bolsa, para alertarlo sobre la vulnerabilidad ascendente, pero tampoco recibimos respuesta.
Cuando TechCrunch envió un correo electrónico al CEO de Bluspark por tercera vez, incluimos una copia parcial de su contraseña para ilustrar la gravedad de la vulnerabilidad.
Unas horas más tarde, TechCrunch recibió una respuesta de un bufete de abogados que representa a Bluspark.
Contraseñas de texto sin formato y una API no autenticada
En la publicación de su blog, Zveare explicó que inicialmente descubrió las vulnerabilidades después de visitar el sitio web de un cliente de Bluspark.
Zveare escribió que había un formulario de contacto en el sitio web del cliente que los clientes potenciales podían utilizar para realizar consultas. Al observar el código fuente del sitio web utilizando las herramientas integradas de su navegador, Zveare se dio cuenta de que el formulario enviaría el mensaje del cliente a través de la API de Bluspark. (Una API permite que dos o más sistemas conectados se comuniquen entre sí a través de Internet; en este caso, un formulario de contacto del sitio web y la bandeja de entrada del cliente de Bluspark).
Debido a que el código de envío de correo electrónico estaba incrustado en el sitio web, cualquiera podía cambiar el código y abusar de este formulario para enviar correos electrónicos maliciosos, como señuelos de phishing, que provenían de un cliente genuino de Bluspark.
Zveare pegó la dirección web de la API en su navegador, que luego cargó una página con la documentación generada automáticamente por la API. Esta página web era una lista maestra de todas las acciones que se pueden realizar utilizando la API de la empresa, como solicitar una lista de usuarios que tienen acceso a las plataformas de Bluspark y crear nuevas cuentas de usuario.
La página de documentación de la API también tenía una función que permitía a cualquiera “probar” la API enviando comandos para recuperar datos de los servidores de Bluspark como usuario registrado.
Zveare señaló que aunque la página afirmaba que la API requería autenticación para su uso, no requería una contraseña ni credenciales para devolver información confidencial de los servidores de Bluspark.
Usando solo la lista de comandos API, Zveare pudo recuperar toneladas de registros de cuentas de usuarios de empleados y clientes que usaban la plataforma de Bluspark, completamente sin autenticar. Estos incluían nombres de usuario y contraseñas visibles en texto plano y no cifrados, incluida una cuenta asociada con el administrador de la plataforma.
Usando el nombre de usuario y la contraseña del administrador, un atacante podría haber iniciado sesión en esta cuenta y haberse vuelto loco. Como investigador de seguridad auténtico, Zveare no podía usar las credenciales porque usar la contraseña de otra persona sin su permiso es ilegal.
Debido a que la documentación de la API enumeraba un comando que permitía a cualquiera crear un nuevo usuario con acceso administrativo, Zveare hizo precisamente eso y obtuvo acceso completo a su plataforma de cadena de suministro Bluvoyix. Zveare dijo que el nivel de acceso de administrador permitía ver los datos de los clientes ya en 2007.
Zveare señaló que después de iniciar sesión con este usuario recién creado, cada solicitud de API estaba envuelta en un token específico del usuario cuyo objetivo era garantizar que el usuario realmente pudiera acceder a una página del portal cada vez que se hacía clic en un enlace. Sin embargo, no se requirió el token para ejecutar el comando, lo que permitió a Zveare enviar solicitudes sin el token, lo que confirma aún más que la API no estaba autenticada.
Error solucionado, la empresa planea una nueva política de seguridad
Después de contactar al bufete de abogados de Bluspark, Zveare le dio permiso a TechCrunch para compartir una copia de su informe de vulnerabilidad con sus representantes.
Días después, el bufete de abogados dijo que Bluspark había corregido la mayoría de las deficiencias y estaba trabajando para contratar a una empresa externa para realizar una evaluación independiente.
Los esfuerzos de Zveare por descubrir las fallas resaltan un problema común en el mundo de la ciberseguridad. Las empresas a menudo no ofrecen una forma de notificarles sobre vulnerabilidades de seguridad, como una dirección de correo electrónico pública. Esto puede dificultar que los investigadores de seguridad sigan divulgando públicamente vulnerabilidades activas, por temor a que revelar detalles pueda poner en riesgo los datos de los usuarios.
Ming Lee, un abogado que representa a Bluspark, dijo a TechCrunch el martes que la compañía estaba “confiada en las medidas tomadas para mitigar el riesgo potencial planteado por los hallazgos del investigador”, pero no comentó sobre los detalles de las vulnerabilidades o cómo se solucionaron; En su caso, indique qué empresa de valoración externa lo encargó. o comentar sobre las prácticas de seguridad específicas.
Cuando TechCrunch le preguntó, Bluspark no dijo si pudo determinar si alguno de los envíos de sus clientes fue manipulado por alguien que aprovechó maliciosamente las fallas. Lee dijo que “no había evidencia de impacto en el cliente o actividad maliciosa atribuible a los problemas identificados por el investigador”. Bluspark no dijo qué pruebas tenía para llegar a esa conclusión.
Lee dijo que Bluspark planea introducir un programa de divulgación que permitiría a investigadores de seguridad externos informar errores y defectos a la empresa, pero las discusiones al respecto aún están en curso.
El director ejecutivo de Bluspark, Ken O'Brien, no hizo comentarios para este artículo.
Para contactar a este reportero de forma segura, puede usar Signal usando el nombre de usuario zackwhittaker.1337
About The Author
