Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wyciekały dane osobowe uczestników konferencji o bezpieczeństwie organizowanej RSA
Niepoprawna autoryzacja, możliwość enumeracji użytkowników czy brak limitu na zapytania do API – to prosty przepis na wyciek i dokładnie tego typu problem przydarzył się firmie RSA. Trzeba wprawdzie przyznać, że aplikacja mobilna obsługująca konferencję RSA była zlecona do przygotowania zewnętrznej firmie – jednak faktem jest, że dane uczestników można było pobrać i wizerunkowo wygląda to bardzo słabo.
Jako Proof of Concept podano mały wycinek wyników działania znanego nam Burpa:
Gdzie atakujący mogli dokładnie „strzelać”? Tego można było się dowiedzieć z samej aplikacji mobilnej:
Wystarczyło tylko przeanalizować funkcje API…i znaleźć te „odpowiednie„. Podatność została już załatana, a my pamiętajmy że „głębokie ukrycie” endpointów API w aplikacji mobilnej nie oznacza braku możliwości odkrycia ich przez atakujących. Tym bardziej jeśli aplikacja używana jest w kontekście wydarzeń związanych z bezpieczeństwem. Zainteresowanych tematyką polecam również tą stronę: Secrets leak in Android apps.
–ms