旧系统暴露了BlackHat 2018与会者的联系信息

研究人员发现，今年参加BlackHat安全会议的每个人的完整联系信息都以明文形式公开。数据库包括姓名，电子邮件，公司和电话号码。

BlackHat 2018会议徽章嵌入了近场通信（NFC）标签，用于存储参与者的联系方式，用于识别或供供应商扫描以进行营销。

一位使用在线绰号NinjaStyle的安全专家注意到，用NFC芯片阅读器扫描他的徽章，他可以用明文看到他真正的全名。但是，他的电子邮件地址和其他信息并不是这样的。

在芯片的不同记录中，读者将用户指向BCard应用程序 - 适用于Android和iOS的名片阅读器。

NinjaStyle开始推荐的读卡器并反编译其APK以寻找潜在的API端点。他发现BCard使用徽章所有者的徽章和事件标识值创建了一个自定义URL，并确定了如何构建这些值。

“虽然我们可以在上面显示的代码中证明这一点，但我只是通过在Firefox中发送请求来猜测这些值对应于eventID和badgeID参数。令我惊讶的是，我能够将我的与会者数据完全未经验证通过这个API，“NinjaStyle在博客文章中揭露了这个故障。

这些细节足以进行严重的攻击，收集所有BlackHat与会者的联系方式。研究人员进行反复试验发现有效身份证数据的范围在100000-999999之间，因此他可以开始提取细节。

“据估计有18,000名BlackHat与会者，我们可以假设我们将在大约2％的请求中列举有效的badgeID，”他总结道。

使用Burp Suite测试他的理论，NinjaStyle估计获得所有BlackHat参与者的联系大约需要6个小时; 考虑到在安全行业，会议是全球黑客，企业和政府机构的主要活动，这是一个非常不错的等待时间。

该研究人员能够联系BCard制造商，以披露安全漏洞，该漏洞在不到24小时内通过禁用泄漏的API进行了修复，因为它是一个遗留系统。

即使它为安全会议的观众服务，麻烦的API也不是孤立的东西。今年RSA大会的官方应用程序没有受到保护，允许参与者信息被泄露。总共有144条记录未经授权访问。

如果您参加＃RSAC2018并在那里看到您的名字 - 对不起！