WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Ứng dụng di động cho hội nghị an ninh RSA tồn tại lỗ hổng
Chuyên gia Infosec "svbl" đã phát hiện và báo cáo về lỗi bảo mật trong một API, có thể được truy cập bởi bất kỳ người nào có tài khoản Hội nghị RSA, để lấy được tên của tất cả những người khác tham dự sự kiện. Svbl đã có thể trích xuất hơn 100 tên từ cơ sở dữ liệu bằng cách sử dụng giao diện phần mềm tinh vi nàyđể chứng minh rằng hệ thống của RSA không được bảo mật đúng cách.
Dữ liệu thu được bao gồm tên người tham dự. Không có thông tin cá nhân nào khác được cho là bị tiết lộ. RSA cho biết đã khắc phục vấn đề này và tổng cộng có 114 tên đã bị khai thác thông qua API không an toàn.
Đối với hầu hết các công ty an ninh mạng, đây sẽ là một rủi ro đáng xấu hổ và đòi hỏi quy trình phát triển trong thực tiễn cần phải kiểm tra kỹ lưỡng.
Năm 2014 chuyên gia Gunter Ollmann đã phân tích một ứng dụng Hội nghị RSA và nhận thấy ứng dụng được viết kém đến nỗi cho phép ăn cắp thông tin đăng nhập thông qua tấn công man-in-the-middle dẫn đến thông tin cá nhân của người dùng bị tiết lộ.
Theo The register