参加 RSA 安全大会，却不料官方 APP 泄露了你的数据！

全球最为顶尖的安全大会的官方应用被爆出安全漏洞是一种什么样的体验……

来源：云头条

RSA Conference是全球最为顶尖的安全大会，每年大会的主题以及所讨论的议题都成为了网络安全业界发展的方向标。这次大会的官方App又被发现有安全漏洞问题了……

这些安全漏洞问题包括硬编码的安全密钥和密码，大会与会者名单被泄露。大会主办单位在Twitter上承认了这一漏洞，不过表示只有114名与会者的姓名被暴露。

RSA大会移动应用程序的114个用户的姓名遭到不适当访问但其他个人信息没有被访问，目前该事件已得到了控制。

RSA大会的移动应用程序是EventbaseTechnology开发的。一名安全工程师发现了这个漏洞，他在审查这款移动应用程序时发现了漏洞，于是发到了推文上。透露后四小时内，Eventbase修复了数据泄露――问题出在一个API调用上，它让任何人都可以下载附有与会者信息的数据。

访问与会者名单需要为该应用程序注册一个帐户，登录，然后从应用程序存储的XML文件获取令牌。由于注册应用程序只需要电子邮件地址，凡是可以从Android设备转储文件的人都能获得令牌，然后将其插入到基于Web的应用程序接口调用，即可下载与会者姓名。虽然下载的SQLite数据库已被加密，但另一个API调用提供了该密钥。

另一个仍可以通过应用程序的API获取的SQLite数据库没有加密，它包含更多的个人信息，包括姓名、地址、电话号码、公司名称和社交媒体帐户链接。IT外媒ArsTechnica查看了该数据库，它似乎只含有厂商和演讲者数据，所以它可能是有意不安全的，因为它不那么敏感。

每届RSA Conference上黑客都会对大会信息系统虎视眈眈，意图挖个大漏洞，和RSA大会里全球的防御者联盟们开个“大玩笑”。所以，RSA大会组办方对于其信息系统的安全防护向来极为严密。但两次官方移动应用程序(App)安全问题的暴露，也再次突显了移动端安全防护的严重性与紧迫性。