В начале 2024 года исследователь Eaton Zveare нашёл пять серьёзных пробелов в системе Bluspark Global: пароли хранились в открытом виде, API работал без аутентификации, а создать административный аккаунт можно было без проверки. Эти проблемы открывали полный доступ к базе клиентов, их отгрузкам и внутренним учётным данным.
Что произошло
После нескольких попыток связаться с компанией Zveare привлёк внимание TechCrunch. Издание отправило письма руководству, а в ответ получил сообщение от юридической фирмы. Bluspark заявила, что устранила уязвимости, но не раскрыла детали исправлений, и независимая проверка пока не проведена.
Значение
Платформа Bluvoyix обслуживает сотни крупных брендов – от розничных сетей до производителей мебели. Доступ к полной базе клиентов, их отгрузкам и внутренним учётным данным позволяет подменять грузы, отправлять фишинговые письма от имени клиентов и вызвать крупные финансовые потери. Отсутствие официального канала для сообщения о баге показывает высокий риск в отрасли логистических технологий.
Что дальше
Bluspark планирует запустить программу раскрытия уязвимостей, но сроки её реализации пока неизвестны. Пока компании, использующие сторонние решения для управления цепочками поставок, усиливают мониторинг API и проводят независимый аудит безопасности.