Исследователь безопасности под псевдонимом NinjaStyle обнаружил полную контактную информацию всех присутствующих на конференции по безопасности BlackHat 2018 в открытом доступе. Данные включают в себя имя, адрес электронной почты, компанию и номер телефона.

В бейджик конференции BlackHat 2018 был встроен NFC-чип, в котором хранились контактные данные участника, для идентификации и сканирования в маркетинговых целях. Как заметил эксперт, изучив чип, он смог увидеть свое реальное полное имя в незашифрованном виде. В другой записи чипа специалист обнаружил упоминание приложения Bcard, предназначенного для чтения визитных карточек на Android и iOS.

Загрузив рекомендованный считыватель карт и декомпилировав APK, NinjaStyle узнал, что Bcard создает собственный URL-адрес, используя данные владельца бейджа.

«Я просто догадался, что нужные значения соответствуют параметрам eventID и badgeID, отправив запрос в Firefox. К моему удивлению, я смог получить полные данные участника, не проходя проверку подлинности по данному API», — отметил исследователь.

Таким образом, вводя указанные выше значения, можно осуществить брутфорс-атаку и собрать контактные данные всех участников BlackHat. Исследователь, используя метод проб и ошибок, обнаружил, что диапазон действительных идентификационных данных был между 100000-999999.

Как подсчитал специалист, получение контактов всех участников BlackHat займет около шести часов. Исследователь смог связаться с производителем Bcard и уведомить его о проблеме. В настоящее время уязвимость уже исправлена.

Источник: securitylab.ru