Original-URL des Artikels: https://www.golem.de/news/rsa-2018-sicherheitskonferenz-mit-datenleck-1804-133980.html    Veröffentlicht: 21.04.2018 11:15    Kurz-URL: https://glm.io/133980

RSA 2018

Sicherheitskonferenz mit Datenleck

Erneut hat die Sicherheitskonferenz RSA ein Problem mit der eigenen Infrastruktur. Über die API einer App hätten die Namen aller Teilnehmer ausgelesen werden können. Es ist nicht das erste Mal, das dort so ein Problem auftaucht.

Ein Sicherheitsforscher hat auf der IT-Sicherheitskonferenz RSA 2018 ein Datenschutzproblem entdeckt und hätte die Namen zahlreicher Besucher aus einer Programmierschnittstelle (API) auslesen können. Der Hacker mit dem Pseudonym svbl hatte zunächst auf Twitter darüber berichtet.

Es gelang ihm nach eigenen Angaben, rund 100 Nutzernamen auszulesen - gewissermaßen als Proof of Concept. Er habe gar nicht die gesamte Datenbank auslesen wollen, wie er The Register sagte. Die fragliche Schnittstelle wird unter anderem von der mobilen App der Konferenz verwendet. Weitere persönliche Daten konnten nach bisherigem Kenntnisstand nicht abgerufen werden.

Die Organisatoren haben den Vorfall bestätigt und sagten, dass insgesamt 114 Namen in dieser Form abgerufen worden seien. Das Problem soll mittlerweile behoben sein, man habe "jede Indikation, dass der Vorfall eingedämmt sei". Bereits im Jahr 2014 hatten Hacker in einer App der Konferenz zahlreiche Sicherheitsprobleme festgestellt. Das Programm war für Man-In-The-Middle-Angriffe anfällig, bei denen auch private Daten hätten kopiert werden können.

Auch bei der 2016er Ausgabe der Konferenz gab es Probleme. Die Badges von Besuchern und Ausstellern waren mit einem Mifare-Chip versehen und konnten einfach geklont werden. Da die Tickets zum Teil mehrere tausend Euro kosten, könnte dies ein lohnendes Ziel sein. Außerdem war eine App, mit denen Aussteller die Daten der Badges auslesen können, ebenfalls unsicher. Sie hatte ein hardcodiertes Passwort, mit dem zahlreiche Modifikationen an den damals verwendeten Galaxy S4 hätten vorgenommen werden können. Der Entdecker des Problems, Andrew Blaich, sagte damals: "Mit diesem Passwort könnte ein Angreifer die App in den Entwickler-Modus schalten, das Gerät rooten, Daten abgreifen oder sogar Malware installieren."  (hg)


Verwandte Artikel:
Verschlüsselung: Github testet Abschaltung alter Krypto   
(09.02.2018, https://glm.io/132684 )
Security: Iranische Hacker erlangen Daten von 23 deutschen Unis   
(20.04.2018, https://glm.io/133976 )
Patscherkofel: Gondelbahn mit Sicherheitslücken   
(19.04.2018, https://glm.io/133930 )
News-Flatrate: Apple soll Nachrichten-Abo planen   
(17.04.2018, https://glm.io/133902 )
Android: Google führt API-Level-Grenze im Play Store ein   
(20.12.2017, https://glm.io/131769 )

© 1997–2020 Golem.de, https://www.golem.de/