Général

La conférence sur la sécurité Internet a révélé des données sur les participants exposés


Une conférence sur la cybersécurité a admis que les noms de ses participants à la conférence avaient été exposés en raison d'une faille de sécurité. Un ingénieur en sécurité a fouillé dans l'application des conférences pour découvrir que sa sécurité était limitée, ce qui lui permettait d'accéder aux noms des personnes participant à la conférence.

«[C'est] l'API de http://eventbase.com qui a été utilisée par l'application de conférence RSA», a expliqué le chercheur, qui s'appelle svbl, aux médias. "[La] vulnérabilité était du côté de la base des événements."

Si vous avez assisté à # RSAC2018 et voyez votre prénom là-bas, désolé! ? pic.twitter.com/YrgZo6jHDu

- svbl (@svblxyz) 20 avril 2018

Violation accessible via l'API de l'application

Généreusement, Svbl a tweeté les mesures qu'il a prises pour accéder aux informations et a immédiatement alerté les organisateurs de la faiblesse. Svbl a déclaré que la base de données était détectable via une API non sécurisée accessible via des informations d'identification codées en dur dans l'application.

RSA a immédiatement résolu le problème, mais ils ont hésité à admettre que la faille était un oubli assez évident pour quiconque dans l'entreprise. La conférence a répondu par une déclaration disant:

"Notre enquête initiale montre que 114 noms et prénoms d'utilisateurs de l'application mobile RSA Conference ont été mal consultés. Aucune autre information personnelle n'a été consultée, et nous avons toutes les indications que l'incident a été maîtrisé."

Pour de nombreux acteurs du secteur, cette réponse n’était pas suffisante. Le site Web du RSA se décrit en disant: «L'information, c'est le pouvoir. Et partout où il y a du pouvoir, il y a des gens qui cherchent à le voler. Mais c’est aussi là que vous nous trouverez. Nous sommes la conférence RSA. Et nous sommes ici pour lutter contre les cybermenaces dans le monde. »

Pas la première violation de données pour RSA

D'autres utilisateurs de Twitter n'ont pas tardé à souligner que le RSA avait subi une faille de sécurité similaire en 2014, lorsque tous les noms des participants ont pu être téléchargés depuis l'application de conférences dans SQLite DB. Cette fois, la conférence a eu la chance que svbl semble fouiller avec les meilleures intentions du monde.

Ce n’est pas surprenant. Permettez-moi de vous rappeler l'application RSA Conference 2014 qui a téléchargé les noms de tous les participants dans SQLite DB. https://t.co/96K4pyjPsrhttps://t.co/icTAUuEOtz

- Ming Chow (@ 0xmchow) 19 avril 2018

«[Je] n'ai extrait qu'un échantillon de données (~ 100 enregistrements) avant de le rapporter directement à RSA et comme vous l'avez vu, ils l'ont corrigé très rapidement (ce qui est génial)», a déclaré le chercheur aux médias. SVBL a confirmé que la méthode qu'il avait utilisée pour accéder aux données n'était plus disponible.

«Merci à @EventbaseTech / @RSAConference pour avoir corrigé la fuite de données si rapidement! C'est un excellent temps de réponse! Je peux confirmer que les données des participants ne sont plus accessibles par la méthode que j'ai découverte », a-t-il tweeté.

La conférence qui compte plus de 50000 participants voudra s'assurer qu'elle renforce la sécurité avant son prochain événement qui se tiendra en mars prochain à San Francisco. La discussion sur Twitter concernant la violation se poursuit.

Le pirate informatique amical d'origine qui a découvert le problème a tweeté hier qu'il avait reçu une énorme quantité de demandes pour les données accessibles. "Je reçois un nombre surprenant de personnes qui demandent une copie des" RSA Attendee Data ". Dans un esprit de divulgation complète, j'ai décidé de tout publier ici», dit-il.

Je reçois un nombre surprenant de personnes qui demandent une copie des "RSA Attendee Data". Dans un esprit de divulgation complète, j'ai décidé de tout publier ici: https://t.co/Hi80YmXQ8M - Enjoy!

- svbl (@svblxyz) 21 avril 2018

Un autre utilisateur de Twitter a déclaré avoir soumis un article à la conférence sur les clés privées dans les applications Android. Ils tweetent: "Je suppose qu'il a été rejeté car il ne peut pas s'agir d'un problème pertinent qui affecte les gens."

C'est assez drôle que le discours que j'ai soumis à @RSAConference cette année portait sur les clés privées dans les applications Android. Je suppose qu'il a été rejeté car il ne peut pas s'agir d'un problème pertinent qui affecte les gens.

- Will Dormann (@wdormann) 20 avril 2018


Voir la vidéo: Top hacker shows us how its done. Pablos Holman. TEDxMidwest (Septembre 2021).