黑帽年會大凸槌:識別證 API 漏洞,1.8 萬與會者資料通通被看光

世界著名的年度 Black Hat 黑帽駭客大會,被爆出發給與會者的識別證中出現漏洞,有心人士可透過這個漏洞取得所有參加活動的 1.8 萬名來賓的資料,包含姓名、公司名稱與職稱、電話地址等個人隱私資訊,在號稱資安界大會之一的會場中出現這樣的狀況,著實諷刺。

與會來賓名牌 NFC 標籤露餡,可透過未加密 API 取得所有來賓資料

這件事情是由一位暱稱為 NinjaStyle 的研究人員發現的。在 2018 年的黑帽大會中,所有與會來賓都會拿到一張包含 NFC 識別標籤的識別證,只要讓參與大會的業者掃描,就能取得該參與者的相關資料。

而 NinjaStyle 也拿到了一張這樣的識別證,出於好奇心他決定掃描看看自己的識別證內包含什麼資訊,結果發現除了自己的名字與一個 BCard 閱讀程式的下載連結外,什麼都沒有。

但是 NinjaStyle 覺得可疑,因為在黑帽大會結束後,掃描過這張識別證的業者們紛紛寄送了廣告電子郵件,但是如果識別證的資訊中並沒有包含相關的資訊,這些廠商是怎麼知道自己的電子郵件的?

於是,NinjaStyle 下載並且逆向拆解了那個 BCard 程式,發現程式內會讀取掃描盜的 NFC 識別標籤的 badgeID 和 eventID ,組合成一個網址,並利用 API 查詢該網站。在 NinjaStyle 查詢後,發現該網站直接列出了自己的完整與會資料,而且網站並不會針對 API 進行任何驗證。

換句話說,任何人都可以透過這個方式查詢到一個人的所有個人資料。

只需六小時就能取得所有來賓資料,黑帽大會:已關閉相關接口

NinjaStyle 表示,只需約 6 小時,就可以透過暴力組合的方式,取得所有 1.8 萬與會來賓的資料。由於黑帽駭客大會是年度資安重頭聚會之一,會場上聚集了來自全世界的頂尖資安高手與駭客們,部分人甚至是處於對立狀態,因此這個漏洞被公布時引起了非常大的討論。

而黑帽大會在收到 NinjaStyle 的報告後,也已經關閉了相關界面,但在關閉前是否有其他人利用了相關的漏洞取得資料,則不得而知。

不管如何,在一個號稱年度資安盛會的場合,發生這樣的漏洞,也著實令人諷刺。

─ ─

參考資料來源:
NinjaStyle:How I Hacked BlackHat 2018
iThome: 外洩 API 恐讓黑帽大會所有與會者的個資曝光

(本文提供合作夥伴轉載,首圖來源:Pixabay,CC Licensed。)

其他你會想知道的入侵相關

2018 Black Hat 大會 10 大熱門課程:菁英駭客們都想學些什麼?
DEFCON 2018:11 歲駭客 10 分鐘就入侵美國選舉網站,有沒有這麼狂?
看完色情網站卻收到駭客勒索:我入侵攝影鏡頭拍下來了,要臉還是要錢?


點關鍵字看更多相關文章: