ABD merkezli kargo yazılımı Bluvoyix, düz metin parolalar ve açık API nedeniyle müşteri verilerini internete açtı

Son aylarda lojistik sektöründe artan siber saldırılar ve hedefli hırsızlık vakalarının ardından güvenlik araştırmacıları şirketleri savunmalarını güçlendirmeye çağırdı. Bu uyarılar, bazı aktörlerin lojistik yazılımlarındaki zafiyetleri kullanarak sevkiyatları yönlendirdiği ve malları organize suç şebekelerinin eline geçirdiği endişesini artırdı.

Özet: Kim etkilendi, ne açığa çıktı?

New York merkezli bir tedarik zinciri yazılımı sağlayıcısı olan Bluspark‘ın platformu Bluvoyix, yüzlerce büyük şirket tarafından sevkiyat takibi ve lojistik yönetimi için kullanılıyor. Araştırmacıların tespit ettiği bir dizi basit ama kritik güvenlik açığı, Bluvoyix platformuna ve müşterilerinin yıllara dayanan kayıtlarına internetten erişime izin verecek şekilde yapılandırılmıştı.

Keşif ve bildirim süreci

Güvenlik araştırmacısı, bir müşterinin web sitesindeki iletişim formunun kaynağını incelediğinde, formun arka planda Bluvoyix’in API’si üzerinden mesaj gönderdiğini fark etti. Bu gözlem araştırmacıyı daha derin bir incelemeye yönlendirdi ve sonuçta platformda beş ayrı zafiyet tespit edildi.

Araştırmacı, şirketle iletişim kurmak için çeşitli kanalları denedi ancak doğrudan ulaşabileceği belirgin bir iletişim yolunun olmaması bildirim sürecini uzattı. Erişimin açık olması nedeniyle zafiyetler, bildirimin gecikmesi süresince üçüncü şahıslar tarafından da kullanılabilir durumdaydı.

Açıkların doğası: plaintext parolalar ve kimlik doğrulama eksikliği

Analizde öne çıkan noktalar şunlardı:

• API dokümantasyon sayfası internetten erişilebiliyordu ve içinde API ile yapılabilecek tüm eylemler listeleniyordu.
• Dokümantasyon üzerinden “test” amaçlı gönderimler yapılabiliyor, ancak API gerçekte parola ya da kimlik doğrulama talep etmiyordu.
• Bu yolla kullanıcı hesapları, çalışan kayıtları ve parola bilgileri düz metin halinde elde edilebiliyordu; hatta yönetici (admin) hesap bilgileri bile görünür durumdaydı.
• Dokümantasyonda yönetici yetkisiyle yeni kullanıcı oluşturma komutu bulunuyordu; araştırmacı bu komutu kullanarak sisteme yeni yönetici hesabı oluşturdu ve platform üzerindeki verilere erişti. Elde edilen verilere göre müşteri kayıtları 2007’ye kadar uzanıyordu.

Şirketin müdahalesi ve alınan önlemler

İlgili taraflarla iletişim kurulmasının ardından şirket, tespit edilen beş zafiyeti kapattığını bildirdi. Yapılan düzeltmeler arasında parolaların korunması, API erişim kontrollerinin güçlendirilmesi ve ek güvenlik değerlendirmeleri yer aldı. Şirket ayrıca üçüncü taraf bir güvenlik incelemesi yaptırmayı planladığını belirtti.

Sorumluluk sahibi açıklama ve belirsizlikler

Şirketin temsilcileri, bulgulara ilişkin detayları, hangi dış uzman firma ile çalışılacağını veya düzeltmelerin teknik ayrıntılarını paylaşmaktan kaçındı. Ayrıca şirket, bu zafiyetlerin kötüye kullanımı sonucu müşteri sevkiyatlarında bir manipülasyon olup olmadığı konusunda açık kanıt sunmadı; “müşteri etkisine dair bir gösterge bulunmadığı” yönünde beyanlar yapıldı ancak bunların dayanağı kamuoyuyla paylaşılmadı.

Siber güvenlik bildirimlerinde sık rastlanan bir sorun

Bu olay, güvenlik araştırmacılarının sıklıkla karşılaştığı bir sorunu gözler önüne seriyor: Şirketlerin açıkça ulaşılabilecek bir “güvenlik bildirimi” kanalı sunmaması, açıkların zamanında çözülmesini zorlaştırıyor. Araştırmacılar, bilgi paylaşımını sorumlu şekilde yönetmek ve kullanıcı verilerini riske atmamak için koordineli bildirim süreçlerine ihtiyaç olduğunu vurguluyor.

Öneriler

• Üçüncü taraf yazılımlarını kullanan şirketlerin periyodik güvenlik taramaları yapması.
• API erişimleri için zorunlu kimlik doğrulama ve token mekanizmalarının uygulanması.
• Parolaların düz metin olarak saklanmaması; güçlü şifreleme ve hashing yöntemlerinin kullanılması.
• Güvenlik araştırmacıları için açık ve erişilebilir bir raporlama kanalı oluşturulması (bounty veya bildirim programları).

Bu olay, lojistik ve tedarik zinciri yazılımlarının güvenliğinin yalnızca teknik bir gereklilik değil, aynı zamanda fiziksel sevkiyatların ve ticari faaliyetlerin güvenliği açısından da kritik olduğunu bir kez daha gösterdi.