على مدار العام الماضي، كان الباحثون في مجال الأمن يحثون صناعة الشحن العالمية على تعزيز دفاعاتهم الإلكترونية بعد سلسلة من سرقات الشحنات التي تم ربطها بالهاكرز. يقول الباحثون إنهم شهدوا اختراقات معقدة تستهدف شركات اللوجستيات للاستيلاء على كميات كبيرة من منتجات عملائهم وتحويلها إلى أيدي المجرمين، في ما أصبح تواطؤاً مقلقاً بين الهاكرز وعصابات الجريمة المنظمة في العالم الحقيقي.
شاحنة توصيل تحمل سجائر إلكترونية مسروقة هنا، وسرقة لوبستر مشبوهة هناك.
أحد الشركات الأمريكية التقنية في مجال الشحن، التي لا تُعرف كثيراً، قضت الأشهر القليلة الماضية في اصلاح أنظمتها بعد اكتشاف مجموعة من الثغرات الأمنية البسيطة، التي أتيحت من خلالها الأبواب لمنصة الشحن الخاصة بها لتكون مفتوحة لأي شخص على الإنترنت.
تُدعى الشركة Bluspark Global، وهي شركة مقرها نيويورك، ومنصتها للشحن وسلسلة التوريد، Bluvoyix، تسمح لمئات من الشركات الكبرى بنقل منتجاتها وتتبع شحناتها أثناء سفرها حول العالم. بينما قد لا تكون Bluspark اسمًا معروفاً في البيوت، فإن الشركة تساعد في تشغيل شريحة كبيرة من الشحنات العالمية، بما في ذلك عمالقة التجزئة، ومحلات البقالة، ومصنعي الأثاث، وأكثر من ذلك. تُستخدم برمجيات الشركة أيضاً من قبل عدة شركات أخرى مرتبطة بـBluspark.
أخبرت Bluspark TechCrunch هذا الأسبوع أن مشكلات الأمان الخاصة بها قد تم حلها الآن. قامت الشركة بإصلاح خمس ثغرات في منصتها، بما في ذلك استخدام كلمات مرور نصية عادية من قبل الموظفين والعملاء، والقدرة على الوصول عن بُعد والتفاعل مع برنامج الشحن Bluvoyix. عُرضت الثغرات الوصول إلى جميع بيانات العملاء، بما في ذلك سجلات شحناتهم، التي تعود لعقود مضت.
لكن بالنسبة للباحث الأمني إيتون زفيار، الذي اكتشف الثغرات في أنظمة Bluspark في أكتوبر، فإن تنبيه الشركة بوجود الثغرات الأمنية استغرق وقتاً أطول من اكتشاف الأخطاء نفسها — إذ لم يكن لBluspark أي وسيلة يمكن التعرف عليها للتواصل معها.
في تدوينة تم نشرها الآن، قال زفيار إنه قدم تفاصيل حول الخمس ثغرات في منصة Bluspark إلى قرية هاكرز البحرية، وهي منظمة غير ربحية تعمل على تأمين المساحة البحرية، وكما في هذه الحالة، تساعد الباحثين في إبلاغ الشركات العاملة في صناعة الشحن بوجود ثغرات أمنية نشطة.
بعد أسابيع، وبعد إرسال عدة رسائل بريد إلكتروني ورسائل صوتية ورسائل على LinkedIn، لم تتجاوب الشركة مع زفيار. وفي الوقت نفسه، كانت الثغرات لا تزال قابلة للاستغلال من قبل أي شخص على الإنترنت.
كملاذ أخير، اتصل زفيار بـTechCrunch في محاولة لتنبيههم بالمسائل.
أرسلت TechCrunch رسائل بريد إلكتروني إلى الرئيس التنفيذي لشركة Bluspark، كين أوبراين، والقيادة العليا للشركة لتنبيههم بوجود خلل أمني، ولكن لم يتم الرد. ثم قامت TechCrunch لاحقًا بإرسال رسالة بريد إلكتروني إلى عميل لـBluspark، وهي شركة تجزئة أمريكية مدرجة في البورصة، لتنبيههم بشأن الخلل الأمني العلوي، ولكننا لم نتلقَ ردًا أيضًا.
في المرة الثالثة التي أرسلت فيها TechCrunch بريدًا إلكترونيًا إلى الرئيس التنفيذي لـBluspark، أضفنا نسخة جزئية من كلمته السرية لإظهار مدى خطورة الخلل الأمني.
بعد بضع ساعات، تلقت TechCrunch ردًا – من مكتب محاماة يمثل Bluspark.
كلمات المرور النصية وواجهة برمجة التطبيقات غير المصدق عليها
في تدوينته، شرح زفيار أنه اكتشف الثغرات في البداية بعد زيارة موقع إنترنت لأحد عملاء Bluspark.
كتب زفيار أن موقع العميل كان يحتوي على نموذج اتصال يتيح للعملاء المحتملين إجراء استفسارات. من خلال عرض شفرة مصدر الصفحة على أداة المتصفح المدمجة، لاحظ زفيار أن النموذج سيرسل رسالة العميل عبر خوادم Bluspark عبر واجهة برمجة التطبيقات الخاصة بها. (تسمح واجهة برمجة التطبيقات لاثنين أو أكثر من الأنظمة المتصلة بالتواصل مع بعضها البعض عبر الإنترنت؛ في هذه الحالة، نموذج اتصال الموقع وصندوق البريد الإلكتروني لعميل Bluspark.)
نظرًا لأن شفرة إرسال البريد الإلكتروني كانت مضمنة في صفحة الويب نفسها، فهذا يعني أنه كان ممكنًا لأي شخص تعديل الشفرة واستغلال هذا النموذج لإرسال رسائل بريد إلكتروني ضارة، مثل رسائل الصيد الاحتيالي، وذلك من عميل حقيقي لـBluspark.
قام زفيار بلصق عنوان واجهة برمجة التطبيقات في متصفحه، الذي قام بتحميل صفحة تحتوي على الوثائق التلقائية للواجهة. كانت هذه الصفحة قائمة رئيسية لجميع الإجراءات التي يمكن إجراؤها مع واجهة برمجة التطبيقات الخاصة بالشركة، مثل طلب قائمة بالمستخدمين الذين لديهم حق الوصول إلى منصات Bluspark، بالإضافة إلى إنشاء حسابات مستخدمين جديدة.
كما كان لدى صفحة وثائق واجهة برمجة التطبيقات ميزة تسمح لأي شخص بـ “اختبار” واجهة برمجة التطبيقات من خلال إرسال أوامر لاسترجاع البيانات من خوادم Bluspark كمستخدم مسجّل الدخول.
وجد زفيار أن واجهة برمجة التطبيقات، على الرغم من أن الصفحة تدعي أنها تتطلب مصادقة لاستخدامها، لم تحتاج إلى كلمة مرور أو أي بيانات اعتماد لإعادة المعلومات الحساسة من خوادم Bluspark.
باستخدام قائمة أوامر واجهة برمجة التطبيقات فقط، استطاع زفيار استرجاع كميات كبيرة من سجلات حسابات المستخدمين للموظفين والعملاء الذين يستخدمون منصة Bluspark، دون أي تحقق. شملت هذه البيانات أسماء المستخدمين وكلمات المرور، التي كانت مرئية كنص عادي وغير مشفرة – بما في ذلك حساب مرتبط بالمسؤول عن المنصة.
مع اسم المستخدم وكلمة المرور للمسؤول في حوزته، كان بإمكان المهاجم تسجيل الدخول إلى هذا الحساب وإحداث فوضى. كطالب في مجال الأمان الواعي، لم يستطع زفيار استخدام بيانات اعتماد الآخرين، إذ إن استخدام كلمة مرور شخص آخر دون إذنه يُعتبر غير قانوني.
نظرًا لأن وثائق واجهة برمجة التطبيقات أدرجت أمرًا يسمح لأي شخص بإنشاء مستخدم جديد بصلاحيات المسؤول، قرر زفيار تنفيذ ذلك، وحصل على وصول غير محدود إلى منصة سلسلة التوريد Bluvoyix. قال زفيار إن مستوى وصول المسؤول سمح له بمشاهدة بيانات العملاء منذ عام 2007.
وجد زفيار أنه بمجرد تسجيل الدخول بهذا المستخدم الجديد، كانت كل طلبات واجهة برمجة التطبيقات مختومة برمز مميز خاص بالمستخدم، والذي كان يهدف إلى التأكد من أن المستخدم لديه الحق في الوصول إلى صفحة البوابة في كل مرة ينقر فيها على رابط. لكن الرمز المميز لم يكن ضروريًا لإكمال الأمر، مما سمح لزفيار بإرسال الطلبات دون الحاجة للرمز، مما يؤكد أكثر أن واجهة برمجة التطبيقات لم تكن مصدقة.
إصلاح الأخطاء، الشركة تخطط لسياسة أمان جديدة
بعد التواصل مع مكتب المحاماة الخاص بـBluspark، منح زفيار TechCrunch الإذن لمشاركة نسخة من تقرير الثغرات الخاص به مع ممثليها.
بعد أيام، قالت شركة المحاماة إن Bluspark قد أصلحت معظم الثغرات وكانت تعمل على الاستعانة بشركة خارجية لإجراء تقييم مستقل.
تسلط جهود زفيار للكشف عن الأخطاء الضوء على مشكلة شائعة في عالم الأمان السيبراني. غالباً ما لا توفر الشركات وسيلة، مثل عنوان بريد إلكتروني عام، لتنبيههم بشأن الثغرات الأمنية. وبالتالي، يمكن أن يجعل هذا من الصعب على الباحثين في مجال الأمن الكشف علنًا عن الثغرات الأمنية النشطة، خوفًا من أن يؤدي كشف التفاصيل إلى تعريض بيانات المستخدمين للخطر.
قال مينغ لي، المحامي الذي يمثل Bluspark، لـTechCrunch يوم الثلاثاء إن الشركة “تثق في الخطوات المتخذة للتخفيف من المخاطر المحتملة الناجمة عن اكتشافات الباحث”، لكنه لم يعلق على تفاصيل الثغرات أو إصلاحاتها؛ ولم يُعلن عن الشركة الخارجية التي تم الاستعانة بها للتقييم، إن وجدت؛ أو يعلق على ممارسات الأمن الخاصة بها.
عندما سُئل من قبل TechCrunch، لم تُدلي Bluspark بتعليق حول ما إذا كانت استطاعت تحديد ما إذا كانت أي من شحنات عملائها قد تم التلاعب بها عن طريق استغلال خبيث للأخطاء. قال لي إنه “لا توجد دلائل على تأثير العميل أو نشاط خبيث يُعزى إلى المشكلات التي حددها الباحث.” لم تُذكر Bluspark ما الأدلة التي لديها لتصل لهذه النتيجة.
قال لي إن Bluspark تخطط لتقديم برنامج للكشف، مما يسمح للباحثين الأمنيين الخارجيين بالإبلاغ عن الأخطاء والثغرات للشركة، لكن المحادثات لا تزال جارية.
لم يقدم الرئيس التنفيذي لشركة Bluspark، كين أوبراين، تعليقًا على هذا المقال.
للتواصل بأمان مع هذا المراسل، يمكنك الاتصال باستخدام Signal عبر اسم المستخدم: zackwhittaker.1337