旧系统暴露了BlackHat 2018与会者的联系信息

研究人员发现,今年参加BlackHat安全会议的每个人的完整联系信息都以明文形式公开。数据库包括姓名,电子邮件,公司和电话号码。

BlackHat 2018会议徽章嵌入了近场通信(NFC)标签,用于存储参与者的联系方式,用于识别或供供应商扫描以进行营销。

一位使用在线绰号NinjaStyle的安全专家注意到,用NFC芯片阅读器扫描他的徽章,他可以用明文看到他真正的全名。但是,他的电子邮件地址和其他信息并不是这样的。

在芯片的不同记录中,读者将用户指向BCard应用程序 - 适用于Android和iOS的名片阅读器。

NinjaStyle开始推荐的读卡器并反编译其APK以寻找潜在的API端点。他发现BCard使用徽章所有者的徽章和事件标识值创建了一个自定义URL,并确定了如何构建这些值。

“虽然我们可以在上面显示的代码中证明这一点,但我只是通过在Firefox中发送请求来猜测这些值对应于eventID和badgeID参数。令我惊讶的是,我能够将我的与会者数据完全未经验证通过这个API,“NinjaStyle在博客文章中揭露了这个故障。

这些细节足以进行严重的攻击,收集所有BlackHat与会者的联系方式。研究人员进行反复试验发现有效身份证数据的范围在100000-999999之间,因此他可以开始提取细节。

“据估计有18,000名BlackHat与会者,我们可以假设我们将在大约2%的请求中列举有效的badgeID,”他总结道。

使用Burp Suite测试他的理论,NinjaStyle估计获得所有BlackHat参与者的联系大约需要6个小时; 考虑到在安全行业,会议是全球黑客,企业和政府机构的主要活动,这是一个非常不错的等待时间。

该研究人员能够联系BCard制造商,以披露安全漏洞,该漏洞在不到24小时内通过禁用泄漏的API进行了修复,因为它是一个遗留系统。

即使它为安全会议的观众服务,麻烦的API也不是孤立的东西。今年RSA大会的官方应用程序没有受到保护,允许参与者信息被泄露。总共有144条记录未经授权访问。

如果您参加#RSAC2018并在那里看到您的名字 - 对不起!

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/legacy-system-exposes-contact-info-of-blackhat-2018-attendees/
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券