Bluspark: Assustador Vazamento Exposição de Dados de Carga e Clientes
Vulnerabilidades revelam senhas em texto simples e acesso não autenticado à API
Descoberta Crítica na Infraestrutura Logística Global
Bluspark Global, empresa de tecnologia logística com presença em 152 países, foi flagrada por pesquisadores de segurança em janeiro de 2026 por expor dados sensíveis de transporte e clientes. A falha, descoberta em outubro de 2025, permitiu acesso não autenticado à API do sistema Bluvoyix, que gerencia até 18% do transporte multimodal global.
Explicação Técnica do Brecha
O pesquisador Eaton Zveare identificou cinco vulnerabilidades críticas, incluindo:
- Passwords em plaintext: Salva sem criptografia RSA-2048
- API sem autenticação: Endpoints /api/v2/user e /api/v2/shipment acessíveis sem token JWT
- Privilege escalation: Criação de contas administrativas via POST /api/v2/admin
Essas falhas permitiam o acesso a registros de embarques desde 2007, incluindo coordenadas GPS em tempo real de 12.000 veículos de transporte.
Resposta da Empresa
Após 42 dias sem resposta às notificações, Zveare envolveu advogados para alertar a Bluspark. A empresa confirmou corrigir 89% das vulnerabilidades em 72 horas, mas não divulgou a metodologia de correção ou o terceirizado contratado para auditoria.
Impacto e Prevenção
A empresa afirma não haver indícios de manipulação de cargas, mas especialistas alertam que as falhas poderiam ter sido exploradas por grupos criminosos para redirecionar shipments de alta valorização, como eletrônicos ou medicamentos.
