El investigador y
pentester 'NinjaStyle' ha conseguido extraer información sobre los asistentes
de la última BlackHat USA debido a un fallo presente en su API.
La 'Black Hat' es un
evento anual de seguridad informática que se lleva realizando desde 1997 en la
ciudad de las Vegas, en Nevada, evento en el cual se reúnen expertos e
investigadores de seguridad informática de todo el mundo.
El fallo, descubierto
por el investigador de seguridad ‘NinjaStyle’, se debía a una falta de
autenticación en una de las API "pública" utilizada para la
organización del evento. Este evento utilizaba para el registro de los
asistentes una insignia con una etiqueta NFC a cargo de una empresa externa,
los cuales también utilizaban los datos de registro para realizar marketing.
‘NinjaStyle’ se
siente alarmado cuando empieza a recibir varios correos electrónicos, y decide
iniciar una investigación sobre qué datos contiene esta etiqueta NFC, y si estos
datos podrían ser consultados de forma remota. Para ello, decide descargarse la
aplicación lectora de NFC de la empresa ‘INT Internacional’, encargada del
registro de este evento.
Mediante técnicas de
ingeniería inversa, consigue ver que efectivamente, la aplicación ‘Platform
BCARD Reader’ utilizaba los datos leídos a través de la etiqueta NFC para
consultar datos del usuario de forma remota, a través de una API, la cual no
tenía ningún sistema de autenticación implementado.
Como se puede ver en
la imagen superior, esta API necesita los parámetros ‘eventID’ y ‘badgeID’,
parámetros que pueden ser manipulados y que podrían ser obtenidos por fuerza
bruta para obtener la información de todos los asistentes del evento en unas 6
horas de procesado, según el investigador de seguridad.
Actualmente el
problema ya está subsanado gracias al reporte de ‘NinjaStyle’. Según la
organización, este error viene de la empresa encargada del registro y no de la
organización del evento y también aseguran no tener indicios de que este fallo
haya sido explotado por ningún usuario.
Más información:
- Tweet de NinjaStyle: https://twitter.com/NinjaStyle82/status/1031681151440572417
- Reporte de la vulnerabilidad: https://ninja.style/post/bcard/
- Aplicación lectora de NFC: https://play.google.com/store/apps/details?id=com.itnintl.bcardreader.platform
Fuente: Hispasec