概要
米国を拠点とする貨物テック企業Bluspark Globalが、その配送システムと顧客データをインターネット上に公開していたことが明らかになりました。同社のプラットフォーム「Bluvoyix」は、数百もの大企業が製品輸送と貨物追跡に利用しており、世界の貨物輸送の大部分を支えています。同社は、従業員や顧客による平文パスワードの使用、Bluvoyixの配送ソフトウェアへのリモートアクセス機能など、5つの重大な脆弱性を修正したとTechCrunchに報告しました。これらの欠陥により、数十年前からの顧客データや出荷記録を含む、全ての顧客データへのアクセスが露呈していました。
脆弱性の詳細
セキュリティ研究者であるEaton Zveare氏は、昨年10月にBlusparkのシステムにおける脆弱性を発見しました。Zveare氏によると、同社のAPIは認証なしでアクセス可能であり、自動生成されたドキュメントページを通じてAPIの「テスト」機能を利用することで、ログインユーザーとしてデータを取得できる状態でした。これにより、Zveare氏は認証なしで、Blusparkプラットフォームを使用する従業員や顧客のユーザーアカウント記録、ユーザー名、そして平文で暗号化されていないパスワードを大量に取得することに成功しました。これには、プラットフォームの管理者に関連付けられたアカウントも含まれていました。さらに、APIドキュメントには管理者権限を持つ新しいユーザーを作成するコマンドがリストされており、Zveare氏はこの機能を利用して管理者としてBluvoyixへの無制限アクセスを獲得。2007年まで遡る顧客データを閲覧できることを確認しました。APIリクエストにユーザー固有のトークンは必要なく、完全に認証が不要な状態であったことが判明しています。
発見から開示までの課題
Zveare氏は、Blusparkがセキュリティ脆弱性を報告するための明確な連絡先を持っていなかったため、発見したバグを会社に通知するのに困難を要しました。同氏はまず、海事分野のセキュリティを支援する非営利団体Maritime Hacking Villageに脆弱性の詳細を提出しました。しかし、数週間にわたる電子メール、留守番電話、LinkedInメッセージにもかかわらず、Blusparkからの応答はありませんでした。脆弱性が悪用され続ける可能性がある状況で、Zveare氏は最終手段としてTechCrunchに連絡を取りました。TechCrunchもBlusparkのCEOであるKen O’Brien氏と同社の上級幹部に複数回メールを送信しましたが、返答はありませんでした。事態の深刻さを示すため、TechCrunchがCEOのパスワードの一部をメールに含めたところ、数時間後にBlusparkを代表する法律事務所からようやく回答がありました。
企業の対応と今後の計画
法律事務所との連絡が確立された後、Zveare氏はTechCrunchに自身の脆弱性レポートのコピーを共有することを許可しました。その数日後、法律事務所はBlusparkがほとんどの脆弱性を修正し、独立した評価のために第三者企業を雇う予定であると述べました。Blusparkの代理人であるMing Lee弁護士は、「研究者の発見に起因する潜在的なリスクを軽減するために取られた措置に自信を持っている」と述べましたが、脆弱性の詳細や修正内容、または雇った第三者評価企業についてはコメントを避けました。Blusparkは、顧客の貨物が悪意を持って操作されたかどうかについても言及を避けており、Lee弁護士は「顧客への影響や悪意のある活動の兆候はない」と主張しましたが、その結論に至った証拠は示されませんでした。Blusparkは、外部のセキュリティ研究者がバグや欠陥を報告できるような開示プログラムの導入を計画していると述べましたが、その議論はまだ進行中とのことです。