RSAカンファレンス公式アプリ、再びデータ漏洩の指摘
セキュリティ・カンファレンスに参加すると、スマホアプリがあなたのデータを漏洩する
RSAセキュリティ・カンファレンスの公式アプリが、登録者の情報を漏洩しているという指摘がありました(ちなみに2014年にも、アプリのメーカーは違うものの、情報漏洩の脆弱性があったようです)。
これはアプリが受け取るキーを取得してしまえば、APIにリクエストを投げることで他人の情報まで受信出来てしまうというもの。
twitter.comIf you attended #RSAC2018 and see your first name there - sorry! 😳 pic.twitter.com/YrgZo6jHDu
— svbl (@svblxyz) 2018年4月20日
twitter.comHi #RSAC2018. 😏 pic.twitter.com/9y1sDK723B
— svbl (@svblxyz) 2018年4月19日
これを見ると、SQLiteのデータベースが直接ダウンロードできるように見えるので、登録情報は基本的に抜ける状態だったと考えるべきでしょう。主催側は次のように「名前だけしか流出してない」とツイートしているのですが、なぜか「本文が画像」です。
— RSA Conference (@RSAConference) 2018年4月20日twitter.com
まあ、セキュリティの催しは、(特にBlack Hatあたりだと)ハニーポットもあったりするので、出席者はセキュリティについて考えつつ参加するのは当然……なのかもしれません。