[simple_tooltip content='SPAccess'] [/simple_tooltip] [simple_tooltip content='SPAccess'] [/simple_tooltip] [simple_tooltip content='SPAccess'] [/simple_tooltip]
Categories: Securitate IT

Aplicația de mobil a conferinței de securitate, nu la fel de sigură pentru participanți

Aplicația de mobil creată pentru conferința de securitate cibernetică RSA permitea extragerea unor informații despre cei care participau.

O conferință dedicată securitatății cibernetice și criptării ar trebui să știe să securizeze informațiile participanților care se regăsesc în aplicația mobilă destinată conferinței, scrie mashable.com.

Organizatorii conferinței RSA au fost obligați să recunoască că aplicația pentru dispozitive mobile nu era în regulă. Un expert în securitate care a verificat aplicația a descoperit că cel puțin unele informații ale utilizatorilor erau expuse și puteau fi accesate de oricine știa une să caute.

Problema aprținea API-ului eventbase ce era folosit de aplicația conferinței RSA. Cercetătorul care folosește numele „svbl” pe Twitter a explicat într-o postare care sunt pașii de urmat pentru a obține acces la informații și a avertizat organizatorii.

Vulnerabilitatea a fost rezolvată rapid de organizatorii conferinței. Cercetătorul a putut accesa numele și prenumele utilizatorilor aplicației mobile RSA Conference. Alte informații nu au mai putut fi accesate. Cercetătorul a limitat numărul de utilizatori la care a avut acces la 114 deaorece a vrut să facă doar o demonstrație.

Aceasta nu este prima dată când aplicația conferinței are probleme de securitate. În 2014, cercetătorul în securitate, Gunter Ollmann, a verificat aplicația și a descoperit că putea permite furtul datelor de autentificare prin intermediul unui atac de tipul man-in-the-middle pentru a expune informațiile utilizatorilor, scrie theregister.co.uk.

În cazul vulnerabilității aplicației de anul acesta, accesarea listei de participanți necesita înregistrarea unui cont și logarea cu acesta în aplicație și apoi obținerea unui token dintr-un fișier XML stocat de aplicație. Înregistrarea necesita doar o adresă de e-mail. După obținerea token-ului, acesta putea fi inrodus într-o interfață web a aplicației pentru a descărca numele participanților, scrie arstechnica.com.

 

 

 

Share
Publicat de
admin2

Stiri Recente

Conferința de Analiză de Risc – Ediția a V a

Ediția a V-a a Conferinței de analiză de risc va avea loc pe data de…

March 5, 2020

The Power of Video 2020

Roadshow-ul Power of Video, organizat de Milestone Systems, va demonstra diferite moduri în care conținutul…

March 5, 2020

Reținuți pentru complicitate la furt și tâlhărie

La data de 18 decembrie., polițiștii de investigații criminale din cadrul Poliției municipiului Roman au…

December 20, 2019

De ce să nu folosești rețelele WiFi publice gratuite și ce riști dacă o faci

Într-o lume cu abonamente la cu trafic de internet nelimitat, nu mai ai nevoie neapărat…

December 20, 2019

Atacuri de phishing şi malware, apărute în contextul celui mai nou film din seria ”Star Wars”

Cel mai recent film care continuă seria ”Star Wars” a atras atenţia atacatorilor chiar înainte…

December 20, 2019

Cercetați de polițiști pentru furturi din genți și buzunare

Polițiștii ieșeni au identificat trei bărbați și o tânără, bănuiți de furturi din genți și…

December 20, 2019