Büyük Nakliye Firmasının Sistem Açığı Hack’lerin Elini Kolunu Bağladı

Büyük Nakliye Platformunda Veri Açığı: Milyonlarca Müşteri Bilgisi Risk Altında

New York merkezli Bluspark Global adlı büyük bir nakliye platformu, güvenlik açıkları nedeniyle müşteri verilerini hacker’ların erişimine açık bırakmıştı. Fox News’un haberine göre, aylarca süren bu güvenlik açığı, nakliye sistemleri, sevkiyat verileri ve müşteri hesaplarına yetkisiz erişime olanak sağladı.

Bluspark Global Nedir?

Bluspark Global, Bluvoyix platformu aracılığıyla yüzlerce şirkete nakliye ve takip hizmetleri sunan bir firmadır. Platform, büyük perakendecilerden, market zincirlerine ve üreticilere kadar geniş bir yelpazede işletmeler tarafından kullanılmaktadır. Bluspark, küresel nakliye süreçlerinin önemli bir bölümünü desteklemektedir.

Güvenlik Açıkları Nasıl Ortaya Çıktı?

Güvenlik araştırmacısı Eaton Zveare, Ekim ayında bir Bluspark müşterisinin web sitesini incelerken güvenlik açıklarını tespit etti. Web sitesinin kaynak kodunu inceleyen Zveare, form gönderimlerinin Bluspark’ın sunucuları üzerinden bir uygulama programlama arayüzü (API) aracılığıyla geçtiğini fark etti. API’nin dokümantasyonu herkese açık ve komutları test etme özelliği bulunuyordu. Yetkilendirme gerektirdiği iddia edilen API, herhangi bir giriş yapılmadan hassas verileri döndürmüştü. Zveare, kullanıcı hesap bilgilerini, çalışan ve müşteri kullanıcı adlarını ve şifrelerini düz metin olarak kurtarabildi. Ayrıca, uygun kontroller olmadan yeni yönetici düzeyinde hesaplar oluşturmak mümkündü. Bu durum, bir saldırganın Bluvoyix’e tam erişim sağlamasına ve 2007 yılından itibaren sevkiyat verilerini görüntülemesine olanak tanıyordu.

“API’nin dokümantasyonu herkese açık ve komutları test etme özelliği bulunuyordu.”

Düzeltmeler İçin Neden Bu Kadar Zaman Gekti?

Zveare, güvenlik açıklarını tespit ettikten sonra Bluspark ile iletişime geçmek için haftalarca çaba sarf etti. E-posta, sesli mesaj ve LinkedIn mesajları göndermesine rağmen bir sonuç alamadı. Bluspark, sadece araştırmacı basınla iletişime geçtikten sonra, avukatları aracılığıyla yanıt verdi. Şirket, güvenlik açıklarını giderdiğini ve resmi bir güvenlik açığı açıklama programı başlatacağını bildirdi. Bluspark, saldırganların bu hataları kullanarak sevkiyatları manipüle edip etmediği konusunda bir kanıt bulamadığını, ancak müşteri üzerinde bir etki olduğuna dair bir belirti olmadığını belirtti. Ayrıca, güvenlik uygulamaları veya üçüncü taraf denetimleri hakkında detay paylaşmayı reddetti.

“Bluspark, sadece araştırmacı basınla iletişime geçtikten sonra, avukatları aracılığıyla yanıt verdi.”

Tüketiciler İçin Öneriler

Siber saldırılar tedarik zincirlerini etkilediğinde, verileriniz dolaylı olarak risk altında olabilir. İşte siber saldırılara karşı kendinizi korumak için 10 yöntem:

• Güçlü ve benzersiz şifreler kullanın.
• İki faktörlü kimlik doğrulamayı etkinleştirin.
• E-postalardaki şüpheli bağlantılara tıklamayın.
• Yazılımınızı güncel tutun.
• Cihazlarınızı güvenli hale getirin.
• Verilerinizi düzenli olarak yedekleyin.
• Kimlik hırsızlığına karşı dikkatli olun.
• Güvenilir kaynaklardan bilgi edinin.
• Siber güvenlik konusunda bilinçli olun.
• Sisteminizi düzenli olarak kontrol edin.

Bu olay, tedarik zinciri güvenliğinin önemini bir kez daha vurgulamaktadır. Şirketlerin, güvenlik açıklarını tespit etmek ve gidermek için proaktif bir yaklaşım benimsemesi ve müşterilerinin verilerini korumak için gerekli önlemleri alması gerekmektedir.

Haberin Diğer Kareleri