Bluspark Global 供應鏈安全漏洞：明文密碼外洩數十載貨運紀錄

全球物流產業正面臨一場「裡應外合」的危機。駭客與有組織犯罪集團勾結，利用數位漏洞直接從卡車上「隔空取物」。近期，美國關鍵航運科技公司 Bluspark Global 被爆出門戶大開，其系統漏洞讓不法分子能輕而易舉地掌握數百家企業的貨運命脈。

Bluspark Global 供應鏈安全漏洞暴露出的物流防禦盲点

總部位於紐約の Bluspark Global 營運著 Bluvoyix 平台，為零售巨頭及家具製造商提供跨國貨物追蹤。資安研究員 Eaton Zveare 發現，該公司的 API 完全不設防，任何人無需密碼即可取得大量使用者紀錄。

最令人震驚的是，系統中包含管理員在內的員工與客戶密碼，竟然以「明文」形式儲存，毫無加密保護。透過這些漏洞，攻擊者可以取得回溯至 2007年 的貨運歷史紀錄。這意味著，不僅目前的物流狀態可能被竄改，企業長達近 20年 的商業秘密也面臨曝光風險。

姍姍來遲的修正：從默不作聲到法律應對

儘管 Zveare 早在去年 10月 就試圖警告該公司，但 Bluspark 最初對多封電子郵件及訊息坐視不理。直到 TechCrunch 介入，並向其執行長發送其部分密碼以示嚴重性後，該公司才透過律師函做出回應。

目前，Bluspark 已修正了 5項 漏洞，並計劃推出漏洞披露計畫（VDP）。雖然該公司聲稱目前無證據顯示數據被惡意利用，但對於過去是否有過非法存取仍語焉不詳，這讓受影響的數百家企業依然心存芥蒂。