RSAカンファレンス公式アプリ、再びデータ漏洩の指摘

セキュリティ・カンファレンスに参加すると、スマホアプリがあなたのデータを漏洩する

arstechnica.com

RSAセキュリティ・カンファレンスの公式アプリが、登録者の情報を漏洩しているという指摘がありました(ちなみに2014年にも、アプリのメーカーは違うものの、情報漏洩の脆弱性があったようです)。

これはアプリが受け取るキーを取得してしまえば、APIにリクエストを投げることで他人の情報まで受信出来てしまうというもの。

twitter.com

twitter.com

これを見ると、SQLiteのデータベースが直接ダウンロードできるように見えるので、登録情報は基本的に抜ける状態だったと考えるべきでしょう。主催側は次のように「名前だけしか流出してない」とツイートしているのですが、なぜか「本文が画像」です。

twitter.com

まあ、セキュリティの催しは、(特にBlack Hatあたりだと)ハニーポットもあったりするので、出席者はセキュリティについて考えつつ参加するのは当然……なのかもしれません。