参加今年黑帽大会的所有参与者的完整信息被以明文形式暴露,这些数据包括姓名、邮件、公司和电话号码。

2018黑帽大会的徽章嵌入了近场通信 (NFC) 标签,用于存储与会者的联系方式,用于识别或供供应商扫描以开展营销活动。

网络昵称为 NinjaStyle 的安全研究员注意到,通过 NFC 芯片读卡器扫描自己的徽章,就能看到明文形式的全名。不过他的邮件地址和其它信息无法以这种方式查看。

在另外的一个芯片记录中,阅读器将用户指向 BCard app,后者是可用于安卓和 iOS 版本的名片阅读器。

NinjaStyle 开始研究所推荐的卡片阅读器并编译了 APK 以查找潜在的 API 端点。他发现 BCard 使用徽章创建了一个自定义的URL 和徽章所有人的事件识别值,之后他就能判断这些值是如何构建的。

他指出,虽然能从代码中证实这些值的构建过程,但他通过向火狐浏览器发送请求的方式就猜测到了和 evened  badgeID 参数相对应的值。让人吃惊的是,他能够提取出完全未经 API 认证的与会信息。

这些详情足以执行暴力攻击,从而收集所有与会人员的联系详情。研究人员通过反复试验发现了有效 ID 数据的范围是 100000-999999,因此他能够提取详情。

他总结称,“黑帽大会的与会人员约为1.8万名,之后我们假设能够通过2%的请求枚举有效的 badgeID。”

NinjaStyle 使用 Burp Suite 测试了这个理论,通过估算得出,获得所有黑帽大会参与人员联系信息的时间是6小时。鉴于该会议在安全行业是黑客、企业和政府机构的主要活动,因此这种等待时间也很合理。

这名安全研究员将该安全缺陷告知 BCard 厂商,后者在不到24小时内通过禁用遗留的易泄露的 API 在不到24小时的时间内予以修复。

问题重重的 API 并非孤立存在,即使它服务的对象是安全会议的与会者。今年 RSA 会议的官方 app 在未得到任何保护措施的情况下运行,导致与会者信息遭泄露。总计共有144条记录遭越权访问。

本文由360代码卫士翻译自BleepingComputer

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。