RSA安全大会手机 app 的后台系统中被指存在一个安全漏洞。
信息安全专家 “svbl” 从这款 app 的一个 API 中发现并报告了这个隐私漏洞。任何拥有 RSA 会议账户的人员均可访问该 API 获取所有大会其他参加人员的姓名。Svbl 能够通过移动 app 使用的这款存在漏洞的软件接口中从数据库中提取100多个姓名。
被提取的数据由参加人员的姓名构成,其它隐私信息似乎并未遭暴露。RSA 表示已修复该问题,114个姓名被获取。
Svbl 表示,他并未尝试访问全部参加人员的数据库,并认为其他人也并未利用这个漏洞,因此目前来看损失降到了最低。
对于多数安全企业而言,这次事件不可谓不尴尬,而且应该会带来针对开发实践的仔细检查。然而对于 RSA 而言,这不过是沧海一粟。
2014年,安全研究员 Gunter Ollmann 分析了一款 RSA 大会 app 后发现其编写得太差劲,可遭中间人攻击,从而导致凭证遭窃取而用户的个人信息被暴露。
当时那个时间点特别尴尬,当年的 RSA 大会遭到部分人员的抵制,因为大会产品的一个加密工具包中被指含有美国政府添加的一个后门。但RSA 表示,大会并未拿着 NSA 的钱去给自家产品添加后门。
本文由360代码卫士翻译自TheRegister
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
