Een beveiligingsonderzoeker heeft een kwetsbaarheid ontdekt waardoor het mogelijk was om gegevens te downloaden van alle 18.000 mensen die begin augustus de Black Hat-beveiligingsconferentie in Las Vegas hebben bezocht. Black Hat is één van de grootste beveiligingsconferenties ter wereld.
Bezoekers van het evenement ontvingen een badge met een NFC-tag die door leveranciers op het evenement kon worden gescand. Op deze manier kunnen leveranciers informatie over bezoekers verzamelen en hen vervolgens allerlei marketingmateriaal e-mailen. De onderzoeker, die van het alias "NinjaStyle" gebruikmaakt, ontdekte dat er verschillende gegevens op de tag stonden. Het ging onder andere om voor- en achternaam. Het e-mailadres stond echter niet in plain text op de tag. Wel bevatte de tag een link die gebruikers vroeg om de BCard-app te downloaden.
Via de programmeerinterface (API) van de BCard-app bleek het mogelijk te zijn om gegevens van conferentiebezoekers op te vragen door een badgeID en eventID te versturen. Er was hiervoor geen enkele authenticatie vereist. Via een bruteforce-aanval was het mogelijk om in 6 uur tijd alle mogelijke BadgeID's te proberen en zo gegevens van alle Black Hat-bezoekers te achterhalen. Het ging dan om namen, e-mailadressen, bedrijfsnamen, telefoonnummers en adresgegevens.
De onderzoeker probeerde het probleem op 9 augustus bij ITN International te rapporteren, de aanbieder van BCard en het tag-systeem. Dit bleek in eerste instantie lastig. Zo kon een e-mail naar security@, dat onderzoekers vaak gebruiken om kwetsbaarheden te melden, niet worden afgeleverd. Nadat er op 12 augustus contact was gelegd werd de API binnen 24 uur uitgeschakeld. Volgens ITN ging het om een legacy systeem. De onderzoeker zegt zich volgend jaar met valse gegevens te zullen registreren.
Deze posting is gelocked. Reageren is niet meer mogelijk.