תראה, אנחנו מבינים. אבטחת סייבר זה קשה. אבל אולי, סתםאוּלַי,כנסהמוקדש לאבטחת מחשבים והצפנה צריך לדעת טוב יותר מאשר להשאיר את המידע על המשתתפים חשוף באמצעות אפליקציית הוועידה לנייד שלה.
ובכל זאת.
בתור הכנס RSAהרוחות היום בסן פרנסיסקו המארגנים נאלצו להכיר בכך שלא הכל הסתדר עם הבית שלהם. ספציפית, מהנדס אבטחה בוחן אתאפליקציה לנייד של RSA Conferenceגילה שלפחות חלק מהמידע על המשתמש נחשף לכל מי שידע היכן לחפש.
ייתכן שהציוץ נמחק
"[זה] היה ה-API מhttps://eventbase.comששימש את אפליקציית הכנסים של RSA", החוקר שעובר על פניווכו, הוסבר בהודעה ישירה בטוויטר. "[הפגיעות] הייתה בצד של בסיס האירועים."
Svbl צייץ בטוויטר את הצעדים שנקט כדי לגשת למידע והתריע בפני המארגנים על מה שניתן לכנות בנדיבות פיקוח.
ייתכן שהציוץ נמחק
ועידת ה-RSA הגיבה ופתרה את הפגיעות במהירות, אבל, נגיד, התגובה לא ממש עמדה בעובדה שהמארגנים הכניסו פגיעות באפליקציה שלהם.
מהירות אור ניתנת לריסוק
"החקירה הראשונית שלנו מראה ש-114 שמות פרטיים ושמות משפחה של משתמשי האפליקציה לנייד של RSA Conference ניגשו בצורה לא נכונה",לקרוא הצהרה. "לא בוצעה גישה למידע אישי אחר, ויש לנו כל אינדיקציה לכך שהתקרית הוכלה".
ייתכן שהציוץ נמחק
שהגישה רק ל-114 שמות פרטיים ושמות משפחה לא נובעת מכמה הגנות אבטחת סייבר קסומות. במקום זאת, זה בגלל ש-svbl הגביל את הבדיקה שלו להצצה בלבד - רק כדי לאשר את הפגיעות - לפני שדיווח עליה.
ייתכן שהציוץ נמחק
יש לציין שזו לא הפעם הראשונה שכנס RSA טועה באפליקציית הכנסים שלה.
"זה לא מפתיע", צייץ הטוויטרהמהנדס וההאקר מינג צ'או. "תן לי להזכיר לך את אפליקציית RSA Conference 2014 שהורידה את כל שמות המשתתפים לתוך SQLite DB."
ייתכן שהציוץ נמחק
ואם להחמיר את המצב, זו לא הייתה הבעיה היחידה שלחברי קהילת אבטחת הסייבר עם אפליקציית הכנס. באופן ספציפי, ההרשאות שהאפליקציה נדרשה הרימו הרבה גבות.
ייתכן שהציוץ נמחק
למרבה המזל עבור המשתתפים, נראה כי ל-svbl לא היו כוונות רעות.
"[אני] שלפתי רק דגימה של נתונים (~100 רשומות) לפני שדיווחתי על כך ישירות ל-RSA וכפי שראיתם הם תיקנו את זה מהר מאוד (וזה מדהים)," כתב לנו החוקר.
ולמרות שתגובה מהירה היא נהדרת, בכל זאת, בחייך. אנשי אבטחה כמו אלה בכנס RSA לא צריכים לסמוך על הרצון הטוב של חוקרים צד שלישי כדי לשמור על אבטחת נתוני המשתתפים. אבל איכשהו, עם זאת, זה בדיוק המקום שבו אנחנו נמצאים.
