示意圖,與新聞事件無關。

圖片來源: 

Black Hat

一名綽號為NinjaStyle的安全研究人員本周指出,透過外洩API就能找到2018年黑帽駭客大會(Black Hat)與會人員的所有個資,包括電子郵件、地址、電話與公司名稱等,由於參與黑帽大會的多為資安高手,有些與會者之間還存在對立關係,更使得NinjaStyle的發現受到矚目。

舉凡參加黑帽大會的人都會拿到一個名牌,名牌上有一個NFC標籤,業者只要掃描該標籤就能取得與會者的資料,NinjaStyle也參加了本月在美國拉斯維加斯舉行的黑帽大會,因好奇心作祟,他下載了標籤閱讀器,看看自己的標籤存放哪些訊息,結果只看見自己的真實姓名及一個可用來下載BCard名片閱讀器程式的網址,其它都是亂碼。

他覺得有些奇怪,因為在黑帽大會結束之後,與會者就會收到業者傳來的大量行銷郵件,但標籤上並未存放電子郵件位址,這讓他決定一探究竟。

NinjaStyle下載了BCard並將它反編譯,發現BCard建立了一個由badgeID與eventID數值所組成的URL,於瀏覽器中輸入後就取得了自己的完整與會資料,從姓名、地址、公司名稱、部門、電子郵件、職稱到電話號碼等。

NinjaStyle說,此一應用程式介面(API)完全沒有任何安全措施,也不需經過身分驗證,若採用暴力破解法,大概只要花上6小時就能取得1.8萬名黑帽大會與會者的詳細個人資料。

黑帽大會在收到NinjaStyle的通知後,已於上周關閉了該介面。


Advertisement

更多 iThome相關內容