过去一年，多起货物被黑客劫持并转移的案件引发关注，安全研究人员持续呼吁全球航运及物流行业强化网络防护。他们表示，已观察到针对物流企业的复杂攻击手法，黑客可将大量客户货物重定向至犯罪团伙手中，显示出网络攻击与线下有组织犯罪之间的勾连。

在此背景下，一家在行业内具有关键角色但对公众相对陌生的美国运输科技公司Bluspark Global，近期被曝其运输和供应链平台存在一系列基础安全漏洞。这些漏洞在数月时间内使其系统对任何互联网用户几乎完全敞开。

关键平台暴露与明文密码问题

Bluspark总部位于纽约，其运输与供应链平台Bluvoyix被数百家大型企业用于安排货运并追踪货物在全球范围内的流转，客户包括零售连锁、杂货商和家具制造商等。多家与Bluspark关联的公司也在使用该软件。

Bluspark本周对科技媒体TechCrunch表示，公司已修复平台中发现的五个安全漏洞。这些问题包括：员工和客户账户使用明文密码存储，以及可远程访问并操作Bluvoyix运输软件的漏洞。上述缺陷一度使所有客户数据处于可被访问状态，涉及的运输记录可追溯数十年。

发现这些漏洞的安全研究员Eaton Zveare表示，他在去年10月首次识别出相关问题。Zveare称，相比发现漏洞本身，找到渠道向Bluspark通报问题花费了更长时间，因为公司未提供明显的安全联络方式。

未认证API暴露用户与管理员凭证

Zveare在其公开博客中介绍了发现过程。他最初在访问一名Bluspark客户的网站时注意到，该网站的联系表单通过Bluspark的API向服务器发送潜在客户的咨询信息。通过浏览器开发者工具查看网页源代码后，他发现相关发送逻辑嵌入在页面中，理论上任何人都可以修改并利用该表单发送伪装成真实客户的恶意邮件，例如钓鱼邮件。

随后，Zveare将该API的网页地址直接输入浏览器，发现加载出一份自动生成的API文档页面。该页面列出了API可执行的全部操作，包括请求拥有Bluspark平台访问权限的用户列表以及创建新用户账户等功能。

API文档页面还提供“测试”功能，允许在页面内直接提交命令，以模拟登录用户从Bluspark服务器检索数据。尽管页面显示使用API需要认证，但Zveare发现，在未提供密码或任何凭证的情况下，仍可从Bluspark服务器获取敏感信息。

仅凭API命令列表，Zveare便能在未认证的前提下检索大量员工和客户账户记录，其中包含用户名及明文密码，且未经过加密处理，涉及的账户包括平台管理员账户。理论上，攻击者一旦掌握管理员用户名和密码，即可登录并全面控制系统。Zveare表示，出于法律和道德原因，他并未使用这些现有凭证登录。

API文档中还列出一条可创建具备管理员权限新用户的命令。Zveare通过执行该命令，创建了一个拥有管理员权限的账户，并由此获得对Bluvoyix供应链平台的完全访问权限。他称，通过该权限可查看最早可追溯至2007年的客户数据。

在使用新建账户登录后，Zveare注意到，每个API请求中都会附带一个用户特定令牌，按设计应用于验证用户是否有权访问相应页面。但他发现，即便不包含该令牌，请求仍可被服务器接受并执行，进一步印证了API缺乏有效认证机制。

通报过程曲折 律师介入回应

在发现问题后，Zveare将五个漏洞的详细技术说明提交给非营利组织Maritime Hacking Village。该组织致力于海事安全，并协助研究人员向相关企业通报安全问题。

此后数周内，尽管通过多封电子邮件、语音留言及LinkedIn消息尝试联系，Bluspark方面始终未对Zveare作出回应。在此期间，相关漏洞仍对任何互联网用户开放。

作为最后手段，Zveare联系了TechCrunch，希望借助媒体渠道引起公司重视。TechCrunch随后向Bluspark首席执行官Ken O’Brien及多名高管发送邮件，提醒其存在安全漏洞，但未获回复。该媒体又向Bluspark的一家美国上市零售客户发出提醒，指出其供应链上游存在安全风险，同样未收到回应。

在第三次致信Bluspark CEO时，TechCrunch在邮件中附上了部分高管密码，以示问题的严重性。数小时后，TechCrunch收到了代表Bluspark的一家律师事务所的回复。

在获得Zveare授权后，TechCrunch将其漏洞报告副本转交给该律师事务所。数日后，律师方面表示，Bluspark已修复大部分漏洞，并正寻求第三方公司进行独立安全评估。

公司称未发现恶意利用 计划建立披露机制

Zveare在博客中指出，此次经历反映出网络安全领域的一个普遍难题：不少公司未提供公开的安全联络邮箱等渠道，供研究人员报告漏洞。这使得研究人员在决定是否公开披露仍未修复的安全缺陷时面临两难，一方面担心披露细节可能增加用户风险，另一方面又难以推动企业尽快修复问题。

代表Bluspark的律师Ming Lee本周二对TechCrunch表示，公司“对已采取的措施足以减轻研究人员发现的潜在风险充满信心”。Lee未就漏洞的具体技术细节、修复方式或是否已正式聘请第三方评估机构作出说明，也未披露公司采取了哪些具体安全措施。

在被问及Bluspark是否确认有客户货物因这些漏洞遭到篡改或被恶意重定向时，Lee表示，“没有迹象表明客户受到影响，或存在与研究人员发现问题相关的恶意活动”。Bluspark方面未说明作出这一判断的依据。

Lee同时表示，Bluspark计划推出漏洞披露计划，允许外部安全研究人员向公司报告安全问题，但相关安排仍在讨论之中。

Bluspark首席执行官Ken O’Brien未就此事发表评论。

据报道记者披露，如需就安全问题进行联系，可通过Signal使用用户名“zackwhittaker.1337”与其沟通。