Обнаружена утечка данных посетителей конференции BlackHat 2018

Обнаружена утечка данных посетителей конференции BlackHat 2018

Данные включают в себя имя, адрес электронной почты, компанию и номер телефона.

Исследователь безопасности под псевдонимом NinjaStyle обнаружил полную контактную информацию всех присутствующих на конференции по безопасности BlackHat 2018 в открытом доступе. Данные включают в себя имя, адрес электронной почты, компанию и номер телефона.

В бейджик конференции BlackHat 2018 был встроен NFC-чип, в котором хранились контактные данные участника, для идентификации и сканирования в маркетинговых целях. Как заметил эксперт, изучив чип, он смог увидеть свое реальное полное имя в незашифрованном виде. В другой записи чипа специалист обнаружил упоминание приложения Bcard, предназначенного для чтения визитных карточек на Android и iOS.

Загрузив рекомендованный считыватель карт и декомпилировав APK, NinjaStyle узнал, что Bcard создает собственный URL-адрес, используя данные владельца бейджа.

«Я просто догадался, что нужные значения соответствуют параметрам eventID и badgeID, отправив запрос в Firefox. К моему удивлению, я смог получить полные данные участника, не проходя проверку подлинности по данному API», - отметил исследователь.

Таким образом, вводя указанные выше значения, можно осуществить брутфорс-атаку и собрать контактные данные всех участников BlackHat. Исследователь, используя метод проб и ошибок, обнаружил, что диапазон действительных идентификационных данных был между 100000-999999.

Как подсчитал специалист, получение контактов всех участников BlackHat займет около шести часов. Исследователь смог связаться с производителем Bcard и уведомить его о проблеме. В настоящее время уязвимость уже исправлена.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!