Jose Vargas
BlackHat USA es el evento de seguridad de la información líder en el mundo, que brinda a los asistentes lo último en investigación, desarrollo y tendencias, este evento tuvo lugar el pasado 4 de agosto en Las Vegas Nevada.
Durante el evento, uno de los espectadores (Ninja.Style) pudo vulnerar la seguridad de uno de los sistemas de registro y conseguir los nombres, direcciones de email, empresas y otros datos de los participantes al evento.
“Durante el entrenamiento en BlackHat este año me estaba frustrando con mi placa y el cordón haciendo ruido alrededor de mi cuello durante el entrenamiento, así que me lo quité y lo puse sobre la mesa al lado mío. Más tarde coloqué mi teléfono encima y vi una notificacion para leer la etiqueta NFC. Por curiosidad, descargue una aplicación de lectura de etiquetas, miré los datos almacenados en mi etiqueta e hice algunas observaciones”, comentó en su blog Ninja.Style, el hacker que logró esta hazaña.
Puede interesarle:¿Cuáles son los países más afectados por el Ransomware en Latinoamérica?
La placa también contenía una dirección web para descargar BCard, una aplicación de lectura de tarjetas. Al descompilar la aplicación, Ninja.Style encontró una particularidad en el código que usó para extraer sus propios datos del servidor sin ninguna verificación de seguridad. Viendo esta falla, comenzó a probar con distintas direcciones web a las que les variaba un número de identificación al azar, y fue encontrando datos guardados de los asistentes al evento, sin ninguna protección.
“La velocidad a la que pudimos aplicar la fuerza bruta a la API significaría que podríamos recopilar con éxito todos los nombres, direcciones de correo electrónico, nombres de compañías, números de teléfono y direcciones de asistentes registrados de BlackHat 2018 en sólo aproximadamente 6 horas”, afirmó Ninja.Style.
Aunque Ninja.Style hizo esto con el fin revelar las fallas de seguridad del evento, las consecuencias son embarazosas para el encuentro de seguridad más popular del mundo, donde mantener fuerte la privacidad es prioridad.
“Después de que el concepto se demostró con éxito, comencé el proceso de divulgación. Inicialmente fue difícil contactar al equipo de ITN, ya que no tienen una dirección de correo electrónico de seguridad o abuso, pero fueron extremadamente educados, profesionales y receptivos una vez que pude contactarme con la persona adecuada. Además, tuvieron este problema resuelto dentro de las 24 horas del contacto inicial”, aclaró Ninja.Style.
Comentarios