Bluspark Global 供應鏈安全漏洞:明文密碼外洩數十載貨運紀錄
Bluspark Global 供應鏈平台 Bluvoyix 爆發嚴重漏洞,明文密碼外洩導致 2007 年至今的貨運數據暴露。了解駭客如何利用物聯網與物流漏洞進行貨物掠奪。
全球物流產業正面臨一場「裡應外合」的危機。駭客與有組織犯罪集團勾結,利用數位漏洞直接從卡車上「隔空取物」。近期,美國關鍵航運科技公司 Bluspark Global 被爆出門戶大開,其系統漏洞讓不法分子能輕而易舉地掌握數百家企業的貨運命脈。
Bluspark Global 供應鏈安全漏洞暴露出的物流防禦盲点
總部位於紐約の Bluspark Global 營運著 Bluvoyix 平台,為零售巨頭及家具製造商提供跨國貨物追蹤。資安研究員 Eaton Zveare 發現,該公司的 API 完全不設防,任何人無需密碼即可取得大量使用者紀錄。
最令人震驚的是,系統中包含管理員在內的員工與客戶密碼,竟然以「明文」形式儲存,毫無加密保護。透過這些漏洞,攻擊者可以取得回溯至 2007年 的貨運歷史紀錄。這意味著,不僅目前的物流狀態可能被竄改,企業長達近 20年 的商業秘密也面臨曝光風險。
姍姍來遲的修正:從默不作聲到法律應對
儘管 Zveare 早在去年 10月 就試圖警告該公司,但 Bluspark 最初對多封電子郵件及訊息坐視不理。直到 TechCrunch 介入,並向其執行長發送其部分密碼以示嚴重性後,該公司才透過律師函做出回應。
目前,Bluspark 已修正了 5項 漏洞,並計劃推出漏洞披露計畫(VDP)。雖然該公司聲稱目前無證據顯示數據被惡意利用,但對於過去是否有過非法存取仍語焉不詳,這讓受影響的數百家企業依然心存芥蒂。
本内容由AI根据原文进行摘要和分析。我们力求准确,但可能存在错误,建议核实原文。
相关文章
北韓駭客集團HexagonalRodent利用ChatGPT、Cursor等AI工具,三個月內入侵逾2,000台電腦,竊取高達1,200萬美元加密貨幣。這不只是北韓問題,而是AI時代的系統性安全危機。
Anthropic推出的AI資安模型Mythos Preview已被NSA與商務部採用,但專責統籌全美網路安全的CISA卻無法取得存取權。這個矛盾揭示了什麼?
Anthropic專為企業安全設計的AI工具Mythos,在公開發布當日遭不明人士透過第三方廠商取得存取權限。這起事件揭示了AI供應鏈管理的根本性漏洞。
受美國制裁的加密貨幣交易所Grinex遭駭客竊取約1500萬美元,隨即宣布停止運營,並指控「西方特工機構」主導攻擊。這場事件折射出加密資產與地緣政治的深層角力。
北韓駭客集團HexagonalRodent利用ChatGPT、Cursor等AI工具,三個月內入侵逾2,000台電腦,竊取高達1,200萬美元加密貨幣。這不只是北韓問題,而是AI時代的系統性安全危機。
Anthropic推出的AI資安模型Mythos Preview已被NSA與商務部採用,但專責統籌全美網路安全的CISA卻無法取得存取權。這個矛盾揭示了什麼?
Anthropic專為企業安全設計的AI工具Mythos,在公開發布當日遭不明人士透過第三方廠商取得存取權限。這起事件揭示了AI供應鏈管理的根本性漏洞。
受美國制裁的加密貨幣交易所Grinex遭駭客竊取約1500萬美元,隨即宣布停止運營,並指控「西方特工機構」主導攻擊。這場事件折射出加密資產與地緣政治的深層角力。
观点
分享你对这篇文章的看法
登录加入讨论