sábado, 25 de agosto de 2018

Fallo de seguridad en la Black Hat 2018 expone datos de los asistentes

El investigador y pentester 'NinjaStyle' ha conseguido extraer información sobre los asistentes de la última BlackHat USA debido a un fallo presente en su API.



La 'Black Hat' es un evento anual de seguridad informática que se lleva realizando desde 1997 en la ciudad de las Vegas, en Nevada, evento en el cual se reúnen expertos e investigadores de seguridad informática de todo el mundo.


El fallo, descubierto por el investigador de seguridad ‘NinjaStyle’, se debía a una falta de autenticación en una de las API "pública" utilizada para la organización del evento. Este evento utilizaba para el registro de los asistentes una insignia con una etiqueta NFC a cargo de una empresa externa, los cuales también utilizaban los datos de registro para realizar marketing.

‘NinjaStyle’ se siente alarmado cuando empieza a recibir varios correos electrónicos, y decide iniciar una investigación sobre qué datos contiene esta etiqueta NFC, y si estos datos podrían ser consultados de forma remota. Para ello, decide descargarse la aplicación lectora de NFC de la empresa ‘INT Internacional’, encargada del registro de este evento.


Datos leídos por el lector NFC, extraída de https://ninja.style/

Mediante técnicas de ingeniería inversa, consigue ver que efectivamente, la aplicación ‘Platform BCARD Reader’ utilizaba los datos leídos a través de la etiqueta NFC para consultar datos del usuario de forma remota, a través de una API, la cual no tenía ningún sistema de autenticación implementado.




Código de la petición a la API, extraída de https://ninja.style/

Como se puede ver en la imagen superior, esta API necesita los parámetros ‘eventID’ y ‘badgeID’, parámetros que pueden ser manipulados y que podrían ser obtenidos por fuerza bruta para obtener la información de todos los asistentes del evento en unas 6 horas de procesado, según el investigador de seguridad.

Actualmente el problema ya está subsanado gracias al reporte de ‘NinjaStyle’. Según la organización, este error viene de la empresa encargada del registro y no de la organización del evento y también aseguran no tener indicios de que este fallo haya sido explotado por ningún usuario.




Jose Ignacio Palacios
jipalacios@hispasec.com
@jpalaciosortega

Más información: