지난 1년 동안 보안 연구원들은 화물 도난이 해커와 연계된 이후 글로벌 해운 회사에 사이버 보안을 강화할 것을 촉구해 왔습니다. 연구원들은 제조 회사를 표적으로 삼아 고객의 제품을 대량으로 훔쳐 범죄자의 손에 넘겨 범죄자와 실제 범죄자 사이에 위험한 연결 고리를 만드는 수많은 사기를 목격했다고 말합니다.
에이 도난당한 전자 담배 배달 트럭 와, 아 그들은 게를 생각하고 있어요 거기.
미국의 한 유명 기술 회사는 일련의 위협이 발견된 후 지난 몇 달 동안 시스템을 패치하는 데 시간을 보냈습니다. 이로 인해 실수로 인터넷의 모든 사람에게 전달 플랫폼의 문이 열려 있게 되었습니다.
이 회사는 뉴욕에 본사를 둔 회사인 Bluspark Global입니다. 이 회사의 배송 및 배송 플랫폼인 Bluvoyix를 사용하면 수백 개의 대기업이 전 세계를 이동하면서 상품을 운송하고 추적할 수 있습니다. Bluspark는 유명하지 않을 수도 있지만 이 회사는 거대 기업, 백화점, 가구 제조업체 등을 포함하여 전 세계의 많은 자산에 전력을 공급하는 데 도움을 줍니다. 이 회사의 소프트웨어는 Bluspark와 제휴된 다른 여러 회사에서도 사용됩니다.
Bluspark는 이번 주 TechCrunch에 보안 문제가 이제 해결되었다고 말했습니다. 회사는 직원과 고객의 암호화된 비밀번호 사용, Bluvoyix의 파견 소프트웨어에 대한 원격 액세스 및 연결 기능을 포함하여 플랫폼의 5가지 결함을 수정했습니다. 이번 침해로 인해 수십 년 전의 배송 기록을 포함한 고객 정보에 대한 접근이 드러났습니다.
그러나 지난 10월 Bluspark 시스템의 취약점을 발견한 보안 연구원 Eaton Zveare의 경우 회사에 보안 결함에 대해 알리는 것은 버그 발견보다 더 오랜 시간이 걸렸습니다. Bluspark에서는 이를 감지할 방법이 없었기 때문입니다.
출판된 문헌에서 블로그 게시물Zveare는 Bluspark 플랫폼의 5개 버그에 대한 세부 정보를 제공했다고 말했습니다. 해상 해킹 커뮤니티해양 환경을 보호하기 위해 노력하는 비영리 조직으로, 이 기사의 경우처럼 연구자들이 해양 산업에 종사하는 회사에 안전 결함에 대해 알리는 데 도움을 줍니다.
몇 주 후 여러 이메일, 음성 메일 및 LinkedIn 메시지를 보낸 후에도 회사는 Zveare에 응답하지 않았습니다. 어떤 경우에도 인터넷상의 누구든지 오류를 계속 사용할 수 있습니다.
최후의 수단으로 Zveare는 이 소식을 알리기 위해 TechCrunch에 연락했습니다.
TechCrunch는 Bluspark CEO인 Ken O’Brien과 회사의 고위 경영진에게 보안 위반에 대해 경고하는 이메일을 보냈지만 그들은 응답하지 않았습니다. TechCrunch는 나중에 미국 상장 기업인 Bluspark의 고객에게 이메일을 보내 원격 보안 침해에 대해 경고했지만 아직 답변을 받지 못했습니다.
TechCrunch가 세 번째로 Bluspark의 CEO에게 이메일을 보냈을 때 보안 위반의 심각성을 보여주기 위해 그의 비밀번호의 작은 사본을 포함시켰습니다.
몇 시간 후 TechCrunch는 Bluspark를 대표하는 법률 회사로부터 응답을 받았습니다.
일반 텍스트 비밀번호는 잘못된 API입니다.
Zveare는 자신의 블로그 게시물에서 Bluspark의 클라이언트 사이트를 방문한 후 취약점을 발견했다고 설명했습니다.
Zveare는 고객 사이트에 잠재 고객이 질문을 할 수 있는 문의 양식이 있다고 썼습니다. 웹사이트에 내장된 브라우저의 코드를 살펴보면서 Zveare는 해당 양식이 API를 통해 Bluspark의 서버를 통해 클라이언트의 메시지를 보내는 것을 확인했습니다. (API를 사용하면 두 개 이상의 시스템이 인터넷을 통해 통신할 수 있습니다. 이 경우 웹사이트의 문의 양식은 Bluspark 클라이언트의 받은 편지함입니다.)
이메일 제출 코드가 웹사이트 자체에 게시되었기 때문에 이는 누구나 코드를 변경하고 양식을 오용할 수 있음을 의미했습니다. 악성 이메일을 보내다실제 Bluspark 고객으로부터 사기 미끼로 사용되었습니다.
Zveare는 브라우저에 API 주소를 입력했고, 자동화된 API 문서가 포함된 페이지가 로드되었습니다. 이 페이지는 마스터 시리즈 Bluspark 플랫폼에 액세스할 수 있는 사용자 목록 요청, 새 계정 생성 등 회사 API로 가능한 모든 활동에 사용됩니다.
API 문서 페이지에는 사용자로서 Bluspark 서버에서 정보를 검색하는 명령을 실행하여 누구나 API를 “테스트”할 수 있는 섹션도 있습니다.
Zveare는 API를 사용하려면 인증이 필요하다고 사이트에 나와 있지만, 그에겐 비밀번호가 필요하지 않았어 또는 Bluspark 서버에서 개인 정보를 검색하기 위한 정보.
Zveare는 API 명령 목록만을 사용하여 Bluspark 플랫폼을 사용하는 사용자 계정 및 고객의 기록을 완전히 무단으로 검색할 수 있었습니다. 여기에는 사용자 이름과 비밀번호가 포함되었습니다. 간단한 말로 보이는 암호화되지 않음 – 플랫폼 관리자에 연결된 계정 포함.
공격자는 관리자 사용자 이름과 비밀번호를 가지고 이 계정에 로그인하여 장난을 칠 수 있습니다. 신뢰할 수 있는 보안 연구원으로서 Zveare는 해당 정보를 사용할 수 없습니다. 허가 없이 누군가의 비밀번호를 사용하는 것은 불법이기 때문입니다.
API 문서에는 누구나 그렇게 할 수 있도록 허용하는 규칙이 작성되어 있으므로 새 사용자 만들기 관리할 수 있는 기회를 얻은 Zveare는 동일한 작업을 수행하여 Bluvoyix 플랫폼에 대한 무제한 액세스 권한을 얻었습니다. Zveare는 2007년부터 고객이 볼 수 있도록 허용된 컨트롤러의 수를 밝혔습니다.
Zveare는 이 새로운 사용자로 로그인한 후 모든 API 요청이 사용자 토큰으로 래핑된다는 사실을 발견했습니다. 이는 사용자가 링크를 클릭할 때마다 포털 페이지에 액세스할 수 있도록 허용하기 위한 것입니다. 그러나 명령을 완료하는 데 토큰이 필요하지 않았으므로 Zveare가 전체 토큰 없이 요청을 보낼 수 있도록 하여 API가 유효하지 않음을 다시 한 번 확인했습니다.
버그 수정 후 회사는 새로운 보안 정책을 마련합니다.
Zveare는 법률 회사인 Bluspark에 연락한 후 TechCrunch에게 자신의 위협 보고서를 대표자와 공유할 수 있는 권한을 부여했습니다.
며칠 후 법률 회사는 Bluspark가 많은 오류를 수정했으며 독립적인 검토를 수행하기 위해 제3자 회사를 유지하기 위해 노력하고 있다고 말했습니다.
버그를 보고하려는 Zveare의 노력은 사이버 보안 세계에 존재하는 문제를 보여줍니다. 회사에서는 보안 문제를 경고할 수 있는 공개 이메일 주소 등의 방법을 제공하지 않는 경우가 많습니다. 따라서 정보를 공개하면 사용자 데이터가 위험에 빠질 수 있다는 우려로 인해 보안 연구원이 활성 상태로 남아 있는 보안 취약성을 공개적으로 공개하는 것이 어려울 수 있습니다.
Bluspark를 대표하는 변호사 Ming Lee는 화요일 TechCrunch와의 인터뷰에서 회사는 “연구원의 발견으로 인한 위험을 완화하기 위해 취한 조치를 확신”하지만 위협의 성격이나 해결 방법에 대해서는 언급하지 않을 것이라고 밝혔습니다. 보유하고 있는 제3자 감사 회사가 있는 경우 명시하십시오. 또는 특정 보안 관행에 대한 의견.
TechCrunch의 질문에 Bluspark는 고객의 제품 중 버그를 먹은 사람이 실행한 제품이 있는지 여부를 확인할 수 있는지 여부를 밝히지 않았습니다. 이씨는 “조사 결과에 따른 고객 개입이나 부작용 징후는 없었다”고 말했다. Bluspark는 이를 달성하기 위해 어떤 증거가 필요한지 밝히지 않았습니다.
Lee는 Bluspark가 외부 보안 연구원이 회사에 버그와 오류를 보고할 수 있도록 내부 고발 프로그램을 시작할 계획이지만 이에 대한 논의는 여전히 진행 중이라고 말했습니다.
Bluspark CEO인 Ken O’Brien은 이 문제에 대해 언급하지 않았습니다.
이 기자에게 안전하게 연락하려면 Signal을 사용하여 사용자 이름: zackwhittaker.1337을 통해 그에게 연락하세요.
