Um investigador de segurança descobriu uma falha na aplicação usada na conferência RSA 2018, na quinta-feira, e que expõem uma base de dados de informações ligadas aos participantes da conferência. A base de dados pode ser descarregada através de uma API insegura que pode ser acedida por meio de credenciais codificadas na app.
Hi #RSAC2018. 😏 pic.twitter.com/9y1sDK723B
— svbl (@svblxyz) April 19, 2018
If you attended #RSAC2018 and see your first name there – sorry! 😳 pic.twitter.com/YrgZo6jHDu
— svbl (@svblxyz) April 20, 2018
A equipa do evento confirmou a falha, afirmando que 114 participantes viram as suas informações vazadas e publicadas na Internet.
— RSA Conference (@RSAConference) April 20, 2018
A conferência trabalhou com a plataforma de eventos móveis Eventbase para corrigir a falha antes que novos danos pudessem ser feitos.
“No other personal information was accessed, and we have every indication that the incident has been contained. We continue to take the matter seriously and monitor the situation,” said Linda Gray Martin, the director and general manager of RSA Conference.
Thanks to @EventbaseTech / @RSAConference for fixing the data leak so quick! That is a great response time! 👍Can confirm that the attendee data is not accessible anymore through the method I discovered.
— svbl (@svblxyz) April 20, 2018
Não é a primeira vez que a conferência RSA tem problemas relativos a fuga de informação. A versão de 2014 da app tinha problemas, incluindo uma fuga da base de dados, que expunha o nome, o empregador e a nacionalidade de qualquer pessoa que o usasse.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.