События

Обнаружена утечка данных посетителей конференции BlackHat 2018

Исследователь безопасности под псевдонимом NinjaStyle обнаружил полную контактную информацию всех присутствующих на конференции по безопасности BlackHat 2018 в открытом доступе. Данные включают в себя имя, адрес электронной почты, компанию и номер телефона.

В бейджик конференции BlackHat 2018 был встроен NFC-чип, в котором хранились контактные данные участника, для идентификации и сканирования в маркетинговых целях. Как заметил эксперт, изучив чип, он смог увидеть свое реальное полное имя в незашифрованном виде. В другой записи чипа специалист обнаружил упоминание приложения Bcard, предназначенного для чтения визитных карточек на Android и iOS.

Загрузив рекомендованный считыватель карт и декомпилировав APK, NinjaStyle узнал, что Bcard создает собственный URL-адрес, используя данные владельца бейджа.

«Я просто догадался, что нужные значения соответствуют параметрам eventID и badgeID, отправив запрос в Firefox. К моему удивлению, я смог получить полные данные участника, не проходя проверку подлинности по данному API», - отметил исследователь.

Таким образом, вводя указанные выше значения, можно осуществить брутфорс-атаку и собрать контактные данные всех участников BlackHat. Исследователь, используя метод проб и ошибок, обнаружил, что диапазон действительных идентификационных данных был между 100000-999999.

Как подсчитал специалист, получение контактов всех участников BlackHat займет около шести часов. Исследователь смог связаться с производителем Bcard и уведомить его о проблеме. В настоящее время уязвимость уже исправлена.

Источник

Автор: Сергей Куприянов
23.08.2018 (10:37)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.