RSA 2018: Sicherheitskonferenz mit Datenleck

Erneut hat die Sicherheitskonferenz RSA ein Problem mit der eigenen Infrastruktur. Über die API einer App hätten die Namen aller Teilnehmer ausgelesen werden können. Es ist nicht das erste Mal, das dort so ein Problem auftaucht.

Artikel veröffentlicht am ,
Das Logo der RSA-Konferenz 2018 in San Francisco
Das Logo der RSA-Konferenz 2018 in San Francisco (Bild: RSA)

Ein Sicherheitsforscher hat auf der IT-Sicherheitskonferenz RSA 2018 ein Datenschutzproblem entdeckt und hätte die Namen zahlreicher Besucher aus einer Programmierschnittstelle (API) auslesen können. Der Hacker mit dem Pseudonym svbl hatte zunächst auf Twitter darüber berichtet.

Stellenmarkt
  1. Inhouse SAP CX Consultant (m/w/d)
    Rodenstock GmbH, München, Regen
  2. IT Systemadministrator/in
    Bundesamt für Familie und zivilgesellschaftliche Aufgaben, Köln
Detailsuche

Es gelang ihm nach eigenen Angaben, rund 100 Nutzernamen auszulesen - gewissermaßen als Proof of Concept. Er habe gar nicht die gesamte Datenbank auslesen wollen, wie er The Register sagte. Die fragliche Schnittstelle wird unter anderem von der mobilen App der Konferenz verwendet. Weitere persönliche Daten konnten nach bisherigem Kenntnisstand nicht abgerufen werden.

Die Organisatoren haben den Vorfall bestätigt und sagten, dass insgesamt 114 Namen in dieser Form abgerufen worden seien. Das Problem soll mittlerweile behoben sein, man habe "jede Indikation, dass der Vorfall eingedämmt sei". Bereits im Jahr 2014 hatten Hacker in einer App der Konferenz zahlreiche Sicherheitsprobleme festgestellt. Das Programm war für Man-In-The-Middle-Angriffe anfällig, bei denen auch private Daten hätten kopiert werden können.

Auch bei der 2016er Ausgabe der Konferenz gab es Probleme. Die Badges von Besuchern und Ausstellern waren mit einem Mifare-Chip versehen und konnten einfach geklont werden. Da die Tickets zum Teil mehrere tausend Euro kosten, könnte dies ein lohnendes Ziel sein. Außerdem war eine App, mit denen Aussteller die Daten der Badges auslesen können, ebenfalls unsicher. Sie hatte ein hardcodiertes Passwort, mit dem zahlreiche Modifikationen an den damals verwendeten Galaxy S4 hätten vorgenommen werden können. Der Entdecker des Problems, Andrew Blaich, sagte damals: "Mit diesem Passwort könnte ein Angreifer die App in den Entwickler-Modus schalten, das Gerät rooten, Daten abgreifen oder sogar Malware installieren."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Pendix eDrive
Ein E-Bike wie kein anderes

Pendix bietet einen Umbausatz, mit dem aus normalen Fahrrädern E-Bikes werden. Nicht ganz billig - aber auf jeden Fall ein Vergnügen.
Ein Test von Martin Wolf

Pendix eDrive: Ein E-Bike wie kein anderes
Artikel
  1. Dart: Nasa beschießt erfolgreich einen Asteroiden
    Dart
    Nasa beschießt erfolgreich einen Asteroiden

    Asteroiden können eine Gefahr für die Erde darstellen. Die Nasa hat eine Möglichkeit getestet, wie diese Gefahr abgewendet werden kann.

  2. Effizienter und schneller: Die Bundeswehr wird digitaler
     
    Effizienter und schneller: Die Bundeswehr wird digitaler

    Viele Unternehmen und Organisationen haben erkannt, dass Digitalisierung das Arbeitsleben effizienter machen kann. Bereits auf einem sehr guten Weg ist die Bundeswehr.
    Sponsored Post von BWI

  3. Ryzen 7950X/7700X im Test: Brachialer Beginn einer neuen AMD-Ära
    Ryzen 7950X/7700X im Test
    Brachialer Beginn einer neuen AMD-Ära

    Nie waren die Ryzen-CPUs besser: extrem schnell, DDR5-Speicher, PCIe Gen5, integrierte Grafik. Der (thermische) Preis dafür ist jedoch hoch.
    Ein Test von Marc Sauter und Martin Böckmann

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Asus RX 6700 XT 539€, FIFA 23 PS5 59,99€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) • CyberWeek: PC-Zubehör, Werkzeug & Co. [Werbung]
    •  /