Brecha en una API expone datos de los asistentes a la Black Hat 2018
Un "sistema heredado" era el culpable de exponer la información de contacto de los asistentes a la conferencia de seguridad Black Hat de este año.
El pentester de Colorado contesto que le hubiera costado seis horas recopilar todos los datos, nombres, direcciones de correo electrónico, números de teléfono y más.Según él, logró sacar los datos de los asistentes a Black Hat USA debido a una API con fugas.
Cita:
"Durante el entrenamiento en BlackHat este año me estaba frustrando con mi placa y el cordón haciendo ruido alrededor de mi cuello en el entrenamiento, así que me lo quité y lo puse en la mesa junto a mí. Más tarde coloqué mi teléfono encima y vi una notificación para leer la etiqueta NFC ".
Después de recibir una notificación para leer las etiquetas en su móvil, descargó el lector de etiquetas y encontró algunos detalles codificados. Por curiosidad, después de unos días, volvió a descargar el APK de BCard. Luego descompiló la aplicación BCard y encontró un punto final API en el código, que luego explotó para extraer sus datos.Las etiquetas NFC fueron usadas por todos los asistentes a la conferencia. Los vendedores en el Business Hall escanearon las tarjetas para recopilar datos sobre el usuario con fines de comercialización. Esto incluyó los nombres, direcciones de correo electrónico, nombres de empresas, puestos de trabajo y números de contacto.
Después de confirmar su descubrimiento, NinjaStyle se acercó al equipo de ITN para informar el asunto. Inicialmente, enfrentó dificultades para contactarlos. Sin embargo, más tarde, logró contactarse e informarles sobre el defecto. Los funcionarios corrigieron el error "dentro de las 24 horas posteriores al contacto inicial".
Curiosamente, cuando el investigador reveló su descubrimiento en su cuenta de Twitter, también dio un consejo profesional para el futuro.
Cabe señalar que la violación no se debió directamente a un fallo en la seguridad por parte de los organizadores de Black Hat y actualmente no hay indicios de que esta falla haya sido explotada maliciosamente.
La conferencia anual Black Hat en Las Vegas es uno de los eventos más esperados en el calendario infosec, con piratas informáticos, investigadores de seguridad y funcionarios encargados de hacer cumplir la ley que descienden en Nevada durante una semana de demostraciones, sesiones prácticas y compartir conocimientos generales de seguridad.
La naturaleza de la conferencia, así como la relación adversarial entre algunos de los grupos presentes, significa que la OpSec (o seguridad operacional) es una prioridad para los invitados al espectáculo. Esta es precisamente la razón por la cual el investigador de seguridad NinjaStyle se sorprendió al descubrir que una falla había dejado expuestos los datos de los asistentes de Black Hat.
FUENTE: http://www.itpro.co.uk/security/31762/leaky-api-exposes-black-hat-attendees-personal-data
TWITTER DE NINJA STYLE: https://twitter.com/NinjaStyle82
