Wyciekały dane osobowe uczestników konferencji o bezpieczeństwie organizowanej RSA

Niepoprawna autoryzacja, możliwość enumeracji użytkowników czy brak limitu na zapytania do API – to prosty przepis na wyciek i dokładnie tego typu problem przydarzył się firmie RSA. Trzeba wprawdzie przyznać, że aplikacja mobilna obsługująca konferencję RSA  była zlecona do przygotowania zewnętrznej firmie – jednak faktem jest, że dane uczestników można było pobrać i wizerunkowo wygląda to bardzo słabo.

Jako Proof of Concept podano mały wycinek wyników działania znanego nam Burpa:

Gdzie atakujący mogli dokładnie „strzelać”? Tego można było się dowiedzieć z samej aplikacji mobilnej:

Wystarczyło tylko przeanalizować funkcje API…i znaleźć te „odpowiednie„. Podatność została już załatana, a my pamiętajmy że „głębokie ukrycie” endpointów API w aplikacji mobilnej nie oznacza braku możliwości odkrycia ich przez atakujących. Tym bardziej jeśli aplikacja używana jest w kontekście wydarzeń związanych z bezpieczeństwem. Zainteresowanych tematyką polecam również tą stronę: Secrets leak in Android apps.

–ms