一名綽號為NinjaStyle的安全研究人員本週指出,透過外洩API就能找到2018年黑帽黑客大會(Black Hat)與會人員的所有個人資料,包括電子郵件、地址、電話與公司名稱等,由於參與黑帽大會的多為安全高手,有些與會者之間還存在對立關係,更使得NinjaStyle的發現受到矚目。
舉凡參加黑帽大會的人都會拿到一個名牌,名牌上有一個NFC標籤,業者只要掃描該標籤就能取得與會者的資料,NinjaStyle也參加了本月在美國拉斯維加斯舉行的黑帽大會,因好奇心作祟,他下載了標籤閱讀器,看看自己的標籤存放哪些信息,結果只看見自己的真實姓名及一個可用來下載BCard名片閱讀器程序的網址,其它都是亂碼。
他覺得有些奇怪,因為在黑帽大會結束之後,與會者就會收到業者傳來的大量推銷郵件,但標籤上並未存放電子郵件位址,這讓他決定一探究竟。
NinjaStyle下載了BCard並將它反編譯,發現BCard建立了一個由badgeID與eventID數值所組成的URL,於瀏覽器中輸入後就取得了自己的完整與會資料,從姓名、地址、公司名稱、部門、電子郵件、職稱到電話號碼等。
NinjaStyle說,此一應用程式界面(API)完全沒有任何安全措施,也不需經過身份驗證,若採用暴力破解法,大概只要花上6小時就能取得1.8萬名黑帽大會與會者的詳細個人資料。
黑帽大會在收到NinjaStyle的通知後,已於上週關閉了該界面。
分享到:
閱讀更多 IT情報局菊長 的文章
