Allgemeines

Internet-Sicherheitskonferenz, bei der festgestellt wurde, dass Teilnehmerdaten verfügbar gemacht wurden

Internet-Sicherheitskonferenz, bei der festgestellt wurde, dass Teilnehmerdaten verfügbar gemacht wurden


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Eine Konferenz über Cybersicherheit hat zugegeben, dass die Namen der Konferenzteilnehmer aufgrund einer Sicherheitslücke bekannt wurden. Ein Sicherheitsingenieur stöberte in der Konferenz-App herum und stellte fest, dass die Sicherheit begrenzt war, sodass er auf die Namen der an der Konferenz teilnehmenden Personen zugreifen konnte.

"[Es] war die API von http://eventbase.com, die von der RSA-Konferenz-App verwendet wurde", erklärte der Forscher, der mit svbl arbeitet, den Medien. "[Die] Sicherheitslücke war auf der Seite der Ereignisbasis."

Wenn Sie an # RSAC2018 teilgenommen haben und dort Ihren Vornamen sehen - sorry! ? pic.twitter.com/YrgZo6jHDu

- svbl (@svblxyz), 20. April 2018

Verstoß über die App-API

Großzügig twitterte Svbl die Schritte, die er unternahm, um auf die Informationen zuzugreifen, und machte die Organisatoren sofort auf die Schwäche aufmerksam. Laut Svbl war die Datenbank über eine ungesicherte API erkennbar, auf die über in der App fest codierte Anmeldeinformationen zugegriffen werden konnte.

RSA hat das Problem sofort behoben, aber sie gaben zu, dass der Fehler für jeden in der Branche ein ziemlich offensichtliches Versehen war. Die Konferenz antwortete mit einer Erklärung:

"Unsere erste Untersuchung ergab, dass 114 Vor- und Nachnamen von Benutzern der RSA Conference Mobile App nicht ordnungsgemäß abgerufen wurden. Es wurde nicht auf andere persönliche Informationen zugegriffen, und wir haben alle Hinweise darauf, dass der Vorfall enthalten war."

Für viele in der Branche war diese Reaktion nicht gut genug. Die RSA-Website beschreibt sich selbst mit den Worten: „Information ist Macht. Und wo immer Macht ist, gibt es Leute, die sie stehlen wollen. Hier finden Sie uns aber auch. Wir sind RSA-Konferenz. Und wir sind hier, um gegen Cyberthreats auf der ganzen Welt vorzugehen. "

Nicht die erste Datenverletzung für RSA

Andere Twitter-Benutzer wiesen schnell darauf hin, dass der RSA 2014 eine ähnliche Sicherheitsverletzung hatte, als alle Teilnehmernamen von der Konferenz-App in SQLite DB heruntergeladen werden konnten. Die Konferenz hatte diesmal das Glück, dass svbl mit den besten Absichten herumzustochern schien.

Das ist nicht überraschend. Ich möchte Sie an die RSA Conference 2014-App erinnern, mit der alle Teilnehmernamen in SQLite DB heruntergeladen wurden. https://t.co/96K4pyjPsrhttps://t.co/icTAUuEOtz

- Ming Chow (@ 0xmchow), 19. April 2018

"[I] hat nur eine Stichprobe von Daten (~ 100 Datensätze) gezogen, bevor ich sie direkt an RSA gemeldet habe, und wie Sie gesehen haben, haben sie sie sehr schnell behoben (was großartig ist)", sagte der Forscher gegenüber den Medien. SVBL bestätigte, dass die Methode, mit der er auf die Daten zugegriffen hatte, nicht mehr verfügbar war.

Dank an @EventbaseTech / @RSAConference für die schnelle Behebung des Datenlecks! Das ist eine großartige Reaktionszeit! Kann bestätigen, dass auf die Teilnehmerdaten mit der von mir entdeckten Methode nicht mehr zugegriffen werden kann “, twitterte er.

Die Konferenz mit mehr als 50.000 Teilnehmern möchte sicherstellen, dass die Sicherheit erhöht wird, bevor die nächste Veranstaltung im kommenden März in San Francisco stattfindet. Die Diskussion auf Twitter über den Verstoß geht weiter.

Der ursprüngliche freundliche Hacker, der das Problem entdeckt hat, hat gestern getwittert, dass er eine große Anzahl von Anfragen nach den Daten erhalten hat, auf die zugegriffen wird. "Ich bekomme überraschend viele Leute, die nach einer Kopie der" RSA Attendee Data "fragen. Im Sinne einer vollständigen Offenlegung habe ich beschlossen, alles hier zu veröffentlichen:", sagt er.

Ich bekomme überraschend viele Leute, die nach einer Kopie der "RSA Attendee Data" fragen. Im Sinne einer vollständigen Offenlegung habe ich beschlossen, alles hier zu veröffentlichen: https://t.co/Hi80YmXQ8M - Viel Spaß!

- svbl (@svblxyz) 21. April 2018

Ein anderer Twitter-Nutzer gab an, auf der Konferenz ein Papier über private Schlüssel in Android-Apps eingereicht zu haben. Sie twittern: "Ich gehe davon aus, dass es abgelehnt wurde, weil es möglicherweise kein relevantes Problem sein könnte, das Menschen betrifft."

Es ist irgendwie lustig, dass der Vortrag, den ich dieses Jahr bei @RSAConference eingereicht habe, über private Schlüssel in Android-Apps war. Ich gehe davon aus, dass es abgelehnt wurde, weil es möglicherweise kein relevantes Problem sein könnte, das people.https: //t.co/d5XnFfVabfpic.twitter.com/8t5N8XoIH2 betrifft

- Will Dormann (@wdormann), 20. April 2018


Schau das Video: Saudi FM: Iran should change behavior first before any discussions (Kann 2022).