image

Black Hat-beveiligingsconferentie lekte data bezoekers

woensdag 22 augustus 2018, 11:03 door Redactie, 5 reacties

Een beveiligingsonderzoeker heeft een kwetsbaarheid ontdekt waardoor het mogelijk was om gegevens te downloaden van alle 18.000 mensen die begin augustus de Black Hat-beveiligingsconferentie in Las Vegas hebben bezocht. Black Hat is één van de grootste beveiligingsconferenties ter wereld.

Bezoekers van het evenement ontvingen een badge met een NFC-tag die door leveranciers op het evenement kon worden gescand. Op deze manier kunnen leveranciers informatie over bezoekers verzamelen en hen vervolgens allerlei marketingmateriaal e-mailen. De onderzoeker, die van het alias "NinjaStyle" gebruikmaakt, ontdekte dat er verschillende gegevens op de tag stonden. Het ging onder andere om voor- en achternaam. Het e-mailadres stond echter niet in plain text op de tag. Wel bevatte de tag een link die gebruikers vroeg om de BCard-app te downloaden.

Via de programmeerinterface (API) van de BCard-app bleek het mogelijk te zijn om gegevens van conferentiebezoekers op te vragen door een badgeID en eventID te versturen. Er was hiervoor geen enkele authenticatie vereist. Via een bruteforce-aanval was het mogelijk om in 6 uur tijd alle mogelijke BadgeID's te proberen en zo gegevens van alle Black Hat-bezoekers te achterhalen. Het ging dan om namen, e-mailadressen, bedrijfsnamen, telefoonnummers en adresgegevens.

De onderzoeker probeerde het probleem op 9 augustus bij ITN International te rapporteren, de aanbieder van BCard en het tag-systeem. Dit bleek in eerste instantie lastig. Zo kon een e-mail naar security@, dat onderzoekers vaak gebruiken om kwetsbaarheden te melden, niet worden afgeleverd. Nadat er op 12 augustus contact was gelegd werd de API binnen 24 uur uitgeschakeld. Volgens ITN ging het om een legacy systeem. De onderzoeker zegt zich volgend jaar met valse gegevens te zullen registreren.

Reacties (5)
22-08-2018, 14:07 door Anoniem
Volgens ITN ging het om een legacy systeem

En... Dat gebruik je dan?
22-08-2018, 14:43 door [Account Verwijderd]
De ironie... :-/

Je zou toch verwachten dat een organisatie die zich bezighoudt met veiligheid en beveiliging weten waar ze mee bezig zijn. Waarom zaken in plain text opslaan? Dat is vragen om problemen vandaag de dag....
22-08-2018, 15:21 door karma4
Door Unix4: De ironie... :-/

Je zou toch verwachten dat een organisatie die zich bezighoudt met veiligheid en beveiliging weten waar ze mee bezig zijn. Waarom zaken in plain text opslaan? Dat is vragen om problemen vandaag de dag....

Je huurt de locatie en besteed de ticketing en afhandeling uit. Waarom zou die organisatie defcon dat allemaal zelf moeten doen. De aanname is dat het met het uitbesteden wel goed zal zitten, dat is de gangbare praktijk.
Niets bijzonders. De ironie is dat ze daarmee de zelfde denkfout maken als in de gangbare praktijk gebeurt.
22-08-2018, 16:05 door [Account Verwijderd]
Door karma4: Waarom zou die organisatie defcon dat allemaal zelf moeten doen. De aanname is dat het met het uitbesteden wel goed zal zitten, dat is de gangbare praktijk.
Niets bijzonders. De ironie is dat ze daarmee de zelfde denkfout maken als in de gangbare praktijk gebeurt.

Precies. Dat is inderdaad het grote probleem tegenwoordig. Alles, maar-dan-ook-alles, wordt uitbesteed.
Zonder dat er ook maar enige garantie en/of controle is op de afgeleverde dienst of product.

DEFCON en Black Hat zijn overigens niet echt hetzelfde... ;-)

black hat: http://www.blackhat.com/
DEFCON: https://www.defcon.org/
22-08-2018, 17:14 door karma4
Door Wrebra:
black hat: http://www.blackhat.com/ DEFCON: https://www.defcon.org/
Je hebt gelijk, sorry voor de verwisseling. https://www.blackhat.com/us-18/defcon.html
Mijn enige excuus is dat ze vlak na elkaar op de zelfde locatie zitten
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.