ამერიკულმა ლოგისტიკურმა კომპანიამ გადაზიდვების სისტემები და მომხმარებელთა მონაცემები ინტერნეტში ღიად დატოვა

ბოლო ერთი წლის განმავლობაში უსაფრთხოების მკვლევრები გლობალურ გადაზიდვების ინდუსტრიას კიბერდაცვის გაძლიერებისკენ აქტიურად მოუწოდებენ. ეს მას შემდეგ გახდა აქტუალური, რაც ტვირთების ქურდობის არაერთი შემთხვევა ჰაკერულ თავდასხმებს დაუკავშირდა. მკვლევრების განცხადებით, ლოგისტიკური კომპანიების წინააღმდეგ მიმართული დახვეწილი ჰაკერული კამპანიები მიზნად ისახავს მომხმარებელთა დიდი რაოდენობით პროდუქციის გატაცებასა და გადამისამართებას, რაც ჰაკერებსა და ორგანიზებულ დანაშაულებრივ დაჯგუფებებს შორის საგანგაშო კოლაბორაციაზე მიუთითებს.

ამ ფონზე, ნაკლებად ცნობილმა, თუმცა კრიტიკულად მნიშვნელოვანმა ამერიკულმა ტექნოლოგიურმა კომპანიამ ბოლო რამდენიმე თვე საკუთარი სისტემების ხარვეზების გამოსწორებას დაუთმო. ნიუ-იორკში ბაზირებული ფირმის, Bluspark Global-ის პლატფორმა Bluvoyix ასობით მსხვილ კომპანიას ტვირთების ტრანსპორტირებასა და გლობალურ თვალთვალში ეხმარება. მიუხედავად იმისა, რომ Bluspark ფართო საზოგადოებისთვის ცნობილი ბრენდი არ არის, ის უზრუნველყოფს მსოფლიო სატვირთო გადაზიდვების მნიშვნელოვან ნაწილს, მათ შორის საცალო ვაჭრობის გიგანტების, სასურსათო მაღაზიებისა და ავეჯის მწარმოებლებისთვის.

კომპანიამ TechCrunch-ს დაუდასტურა, რომ უსაფრთხოების პრობლემები უკვე მოგვარებულია. პლატფორმაზე გამოსწორდა ხუთი კრიტიკული ხარვეზი, მათ შორის თანამშრომლებისა და მომხმარებლების მიერ დაუშიფრავი (plaintext) პაროლების გამოყენება და Bluvoyix-ის პროგრამულ უზრუნველყოფასთან დისტანციური წვდომის შესაძლებლობა. ეს ხარვეზები საფრთხეს უქმნიდა მომხმარებელთა ყველა მონაცემს, მათ შორის ათწლეულების წინანდელ ჩანაწერებს.

უსაფრთხოების მკვლევარმა იტონ ზვეარემ (Eaton Zveare) ხარვეზები ჯერ კიდევ ოქტომბერში აღმოაჩინა. მისი თქმით, კომპანიასთან დაკავშირება უფრო რთული აღმოჩნდა, ვიდრე თავად ხარვეზების პოვნა, რადგან Bluspark-ს არ ჰქონდა მითითებული საკონტაქტო ინფორმაცია მსგავსი შემთხვევებისთვის. ზვეარემ დეტალები არაკომერციულ ორგანიზაცია Maritime Hacking Village-ს გადასცა, რომელიც საზღვაო ინდუსტრიაში მომუშავე კომპანიებს უსაფრთხოების საკითხებში ეხმარება. მას შემდეგ, რაც კომპანიამ არც მკვლევრის და არც TechCrunch-ის პირველად შეტყობინებებს არ უპასუხა, ჟურნალისტებმა აღმასრულებელ დირექტორს მისივე პაროლის ნაწილი გაუგზავნეს დარღვევის სერიოზულობის დასადასტურებლად, რასაც მალევე მოჰყვა პასუხი კომპანიის იურიდიული წარმომადგენლებისგან.

დაუშიფრავი პაროლები და არაავტორიზებული API

თავის ბლოგპოსტში ზვეარე განმარტავს, რომ ხარვეზები Bluspark-ის ერთ-ერთი კლიენტის ვებსაიტის დათვალიერებისას აღმოაჩინა. საიტზე განთავსებული იყო საკონტაქტო ფორმა, რომლის კოდის შემოწმებისას (browser source code) გამოჩნდა, რომ შეტყობინებები Bluspark-ის სერვერებზე API-ს მეშვეობით იგზავნებოდა. ვინაიდან კოდი პირდაპირ ვებგვერდზე იყო ჩაშენებული, ნებისმიერ მსურველს შეეძლო მისი მოდიფიცირება და ფიშინგური შეტყობინებების გაგზავნა რეალური კომპანიის სახელით.

მკვლევარმა API-ს მისამართი ბრაუზერში შეიყვანა, რის შემდეგაც შემდეგი პროცესები განვითარდა:

• გაიხსნა API-ს ავტომატურად გენერირებული დოკუმენტაციის გვერდი, რომელიც შეიცავდა ყველა შესაძლო მოქმედების სრულ სიას.
• გვერდს ჰქონდა „ტესტირების“ ფუნქცია, რომელიც ნებისმიერ პირს აძლევდა საშუალებას, გაეგზავნა ბრძანებები სერვერზე მონაცემების მისაღებად.
• მიუხედავად იმისა, რომ სისტემა ავტორიზაციას მოითხოვდა, რეალურად API პაროლის ან სხვა მონაცემების გარეშე გასცემდა სენსიტიურ ინფორმაციას.

მხოლოდ API ბრძანებების გამოყენებით, ზვეარემ შეძლო თანამშრომლებისა და მომხმარებლების ანგარიშების მონაცემების მოპოვება. მონაცემებში შედიოდა მომხმარებლის სახელები და პაროლები, რომლებიც დაუშიფრავი სახით (plaintext) ჩანდა. მათ შორის იყო პლატფორმის ადმინისტრატორის ანგარიშიც.

ვინაიდან სხვისი პაროლის გამოყენება უკანონოა, მკვლევარმა გამოიყენა API-ს ის ბრძანება, რომელიც ახალი ადმინისტრატორის შექმნის საშუალებას იძლეოდა. ამ გზით მან მოიპოვა სრული წვდომა Bluvoyix-ის პლატფორმაზე, სადაც ხელმისაწვდომი იყო მომხმარებელთა მონაცემები 2007 წლიდან დღემდე. დამატებითმა შემოწმებამ აჩვენა, რომ სისტემაში არსებული უსაფრთხოების ტოკენები რეალურად არ იყო საჭირო ბრძანებების შესასრულებლად, რაც კიდევ ერთხელ ადასტურებდა API-ს დაუცველობას.

ხარვეზების გამოსწორება და უსაფრთხოების ახალი პოლიტიკა

Bluspark-ის ინტერესების დამცველმა იურიდიულმა ფირმამ განაცხადა, რომ კომპანიამ ხარვეზების უმეტესობა უკვე აღმოფხვრა და გეგმავს მესამე მხარის ჩართვას დამოუკიდებელი აუდიტის ჩასატარებლად. ადვოკატმა მინგ ლიმ აღნიშნა, რომ კომპანია დარწმუნებულია გადადგმული ნაბიჯების ეფექტურობაში, თუმცა კონკრეტულ დეტალებზე საუბრისგან თავი შეიკავა.

კითხვაზე, მოხდა თუ არა მომხმარებელთა მონაცემების ბოროტად გამოყენება, კომპანიაში აცხადებენ, რომ ამის ნიშნები არ არსებობს, თუმცა არ აკონკრეტებენ, რა მტკიცებულებებზე დაყრდნობით გამოიტანეს ეს დასკვნა. Bluspark ასევე გეგმავს ხარვეზების შეტყობინების სპეციალური პროგრამის (disclosure program) დანერგვას, რათა მომავალში უსაფრთხოების მკვლევრებმა აღმოჩენილი პრობლემების შესახებ შეტყობინება ოფიციალური არხებით შეძლონ.