Ứng dụng di động cho hội nghị an ninh RSA tồn tại lỗ hổng

[WhiteHat News #ID:2017]

RSA đối mặt với một lỗ hổng trong các hệ thống backend hỗ trợ ứng dụng điện thoại thông minh cho hội nghị an ninh mạng thường niên, được tổ chức trong tuần này tại San Francisco, Mỹ.

Chuyên gia Infosec "svbl" đã phát hiện và báo cáo về lỗi bảo mật trong một API, có thể được truy cập bởi bất kỳ người nào có tài khoản Hội nghị RSA, để lấy được tên của tất cả những người khác tham dự sự kiện. Svbl đã có thể trích xuất hơn 100 tên từ cơ sở dữ liệu bằng cách sử dụng giao diện phần mềm tinh vi nàyđể chứng minh rằng hệ thống của RSA không được bảo mật đúng cách.

Dữ liệu thu được bao gồm tên người tham dự. Không có thông tin cá nhân nào khác được cho là bị tiết lộ. RSA cho biết đã khắc phục vấn đề này và tổng cộng có 114 tên đã bị khai thác thông qua API không an toàn.

Theo Svbl, anh ta không cố gắng truy cập vào toàn bộ cơ sở dữ liệu người tham dự, và Svbl được cho là người duy nhất khai thác lỗ hổng này, do vậy thiệt hại cho đến nay là không nghiêm trọng.

Đối với hầu hết các công ty an ninh mạng, đây sẽ là một rủi ro đáng xấu hổ và đòi hỏi quy trình phát triển trong thực tiễn cần phải kiểm tra kỹ lưỡng.

Năm 2014 chuyên gia Gunter Ollmann đã phân tích một ứng dụng Hội nghị RSA và nhận thấy ứng dụng được viết kém đến nỗi cho phép ăn cắp thông tin đăng nhập thông qua tấn công man-in-the-middle dẫn đến thông tin cá nhân của người dùng bị tiết lộ.

Theo The register​