Abo
  • Services:

RSA 2018: Sicherheitskonferenz mit Datenleck

Erneut hat die Sicherheitskonferenz RSA ein Problem mit der eigenen Infrastruktur. Über die API einer App hätten die Namen aller Teilnehmer ausgelesen werden können. Es ist nicht das erste Mal, das dort so ein Problem auftaucht.

Artikel veröffentlicht am ,
Das Logo der RSA-Konferenz 2018 in San Francisco
Das Logo der RSA-Konferenz 2018 in San Francisco (Bild: RSA)

Ein Sicherheitsforscher hat auf der IT-Sicherheitskonferenz RSA 2018 ein Datenschutzproblem entdeckt und hätte die Namen zahlreicher Besucher aus einer Programmierschnittstelle (API) auslesen können. Der Hacker mit dem Pseudonym svbl hatte zunächst auf Twitter darüber berichtet.

Stellenmarkt
  1. talpasolutions GmbH, Essen
  2. über experteer GmbH, Franken/Bayern

Es gelang ihm nach eigenen Angaben, rund 100 Nutzernamen auszulesen - gewissermaßen als Proof of Concept. Er habe gar nicht die gesamte Datenbank auslesen wollen, wie er The Register sagte. Die fragliche Schnittstelle wird unter anderem von der mobilen App der Konferenz verwendet. Weitere persönliche Daten konnten nach bisherigem Kenntnisstand nicht abgerufen werden.

Die Organisatoren haben den Vorfall bestätigt und sagten, dass insgesamt 114 Namen in dieser Form abgerufen worden seien. Das Problem soll mittlerweile behoben sein, man habe "jede Indikation, dass der Vorfall eingedämmt sei". Bereits im Jahr 2014 hatten Hacker in einer App der Konferenz zahlreiche Sicherheitsprobleme festgestellt. Das Programm war für Man-In-The-Middle-Angriffe anfällig, bei denen auch private Daten hätten kopiert werden können.

Auch bei der 2016er Ausgabe der Konferenz gab es Probleme. Die Badges von Besuchern und Ausstellern waren mit einem Mifare-Chip versehen und konnten einfach geklont werden. Da die Tickets zum Teil mehrere tausend Euro kosten, könnte dies ein lohnendes Ziel sein. Außerdem war eine App, mit denen Aussteller die Daten der Badges auslesen können, ebenfalls unsicher. Sie hatte ein hardcodiertes Passwort, mit dem zahlreiche Modifikationen an den damals verwendeten Galaxy S4 hätten vorgenommen werden können. Der Entdecker des Problems, Andrew Blaich, sagte damals: "Mit diesem Passwort könnte ein Angreifer die App in den Entwickler-Modus schalten, das Gerät rooten, Daten abgreifen oder sogar Malware installieren."



Anzeige
Hardware-Angebote
  1. und Vive Pro vorbestellbar
  2. 117,94€ + Versand

Folgen Sie uns
       


Microsoft Adaptive Controller - Hands on

Im Rahmen der Build 2018 konnten wir den Adaptive Controller von Microsoft ausprobieren, ein Hardware-Experiment, das Menschen mit Einschränkungen das Spielen ermöglicht.

Microsoft Adaptive Controller - Hands on Video aufrufen
Ryzen 5 2600X im Test: AMDs Desktop-Allrounder
Ryzen 5 2600X im Test
AMDs Desktop-Allrounder

Der Ryzen 5 2600X ist eine der besten sechskernigen CPUs am Markt. Für gut 200 Euro liefert er die gleiche Leistung wie der Core i5-8600K. Der AMD-Chip hat klare Vorteile bei Anwendungen, das Intel-Modell in Spielen.
Ein Test von Marc Sauter

  1. Golem.de-Livestream Wie gut ist AMDs Ryzen 2000?
  2. RAM-Overclocking getestet Auch Ryzen 2000 profitiert von schnellem Speicher
  3. Ryzen 2400GE/2200GE AMD veröffentlicht sparsame 35-Watt-APUs

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
Kryptographie
Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck


    Recycling: Die Plastikwaschmaschine
    Recycling
    Die Plastikwaschmaschine

    Seit Kurzem importiert China kaum noch Müll aus dem Ausland. Damit hat Deutschland ein Problem. Wohin mit all dem Kunststoffabfall? Michael Hofmann will die Lösung kennen: Er bietet eine Technologie an, die den Abfall in Wertstoff verwandelt.
    Ein Bericht von Daniel Hautmann


        •  /