一名绰号为NinjaStyle的安全研究人员本周指出,透过外泄API就能找到2018年黑帽黑客大会(Black Hat)与会人员的所有个人资料,包括电子邮件、地址、电话与公司名称等,由于参与黑帽大会的多为安全高手,有些与会者之间还存在对立关系,更使得NinjaStyle的发现受到瞩目。
举凡参加黑帽大会的人都会拿到一个名牌,名牌上有一个NFC标签,业者只要扫描该标签就能取得与会者的资料,NinjaStyle也参加了本月在美国拉斯维加斯举行的黑帽大会,因好奇心作祟,他下载了标签阅读器,看看自己的标签存放哪些信息,结果只看见自己的真实姓名及一个可用来下载BCard名片阅读器程序的网址,其它都是乱码。
他觉得有些奇怪,因为在黑帽大会结束之后,与会者就会收到业者传来的大量推销邮件,但标签上并未存放电子邮件位址,这让他决定一探究竟。
NinjaStyle下载了BCard并将它反编译,发现BCard建立了一个由badgeID与eventID数值所组成的URL,于浏览器中输入后就取得了自己的完整与会资料,从姓名、地址、公司名称、部门、电子邮件、职称到电话号码等。
NinjaStyle说,此一应用程式界面(API)完全没有任何安全措施,也不需经过身份验证,若采用暴力破解法,大概只要花上6小时就能取得1.8万名黑帽大会与会者的详细个人资料。
黑帽大会在收到NinjaStyle的通知后,已于上周关闭了该界面。
分享到:
閱讀更多 IT情報局菊長 的文章
