Azienda cargo americana ha esposto pubblicamente i suoi sistemi di spedizione e dati clienti.
Nel suo post sul blog, Zveare ha spiegato che la scoperta delle vulnerabilità è avvenuta visitando il sito web di un cliente di Bluspark, dove ha notato che un modulo di contatto inviava messaggi passando per i server di Bluspark tramite la loro API. Questo ha permesso a chiunque di modificare il codice e inviare email fraudolente a nome del cliente.
L’analisi dell’API ha rivelato che, nonostante fosse dichiarato che fosse necessaria un’autenticazione, non era richiesto alcun tipo di password per accedere ai dati sensibili di Bluspark. Zveare è stato in grado di estrarre una grande quantità di registri di account degli utenti, inclusi nomi utente e password visibili in chiaro.
Accedendo all’account dell’amministratore, sarebbe stato possibile per un attaccante condurre attività non autorizzate. Come ricercatore di buona fede, Zveare non ha sfruttato questa opportunità, dal momento che usare le credenziali di qualcun altro senza permesso è illegale. Tuttavia, ha utilizzato la possibilità di creare un nuovo utente con accesso amministrativo per ottenere l’accesso totale alla piattaforma Bluvoyix.
Dopo aver ripristinato il contatto con lo studio legale di Bluspark, Zveare ha accordato a TechCrunch il permesso di condividere il rapporto delle vulnerabilità. Nei giorni seguenti, il legale ha comunicato che la maggior parte delle falle era stata risolta e che Bluspark stava considerando di coinvolgere una terza parte per una valutazione indipendente.
About The Author
