外洩API恐讓黑帽大會所有與會者的個資曝光

一名綽號為NinjaStyle的安全研究人員本周指出，透過外洩API就能找到2018年黑帽駭客大會（Black Hat）與會人員的所有個資，包括電子郵件、地址、電話與公司名稱等，由於參與黑帽大會的多為資安高手，有些與會者之間還存在對立關係，更使得NinjaStyle的發現受到矚目。

舉凡參加黑帽大會的人都會拿到一個名牌，名牌上有一個NFC標籤，業者只要掃描該標籤就能取得與會者的資料，NinjaStyle也參加了本月在美國拉斯維加斯舉行的黑帽大會，因好奇心作祟，他下載了標籤閱讀器，看看自己的標籤存放哪些訊息，結果只看見自己的真實姓名及一個可用來下載BCard名片閱讀器程式的網址，其它都是亂碼。

他覺得有些奇怪，因為在黑帽大會結束之後，與會者就會收到業者傳來的大量行銷郵件，但標籤上並未存放電子郵件位址，這讓他決定一探究竟。

NinjaStyle下載了BCard並將它反編譯，發現BCard建立了一個由badgeID與eventID數值所組成的URL，於瀏覽器中輸入後就取得了自己的完整與會資料，從姓名、地址、公司名稱、部門、電子郵件、職稱到電話號碼等。

NinjaStyle說，此一應用程式介面（API）完全沒有任何安全措施，也不需經過身分驗證，若採用暴力破解法，大概只要花上6小時就能取得1.8萬名黑帽大會與會者的詳細個人資料。

黑帽大會在收到NinjaStyle的通知後，已於上周關閉了該介面。