La renombrada conferencia de seguridad RSA, que ha hecho una tradición de reunir a miles de personas cada año para discutir asuntos relacionados con la seguridad informática y estrategias para mejorarla, está repartiendo una aplicación insegura para teléfonos móviles que ha filtrado los nombres de sus asistentes.
La aplicación fue elaborada por la empresa externa Eventbase Technology y era indudable que su seguridad iba a pasar por el escrutinio de alguno de los 40.000 apasionados asistentes de la conferencia. Esta vez, un investigador de seguridad que aparece en Twitter como Svbl, se dio el trabajo de explorar la aplicación y no tardó en descubrir una vulnerabilidad que logró explotar para conseguir los datos de los asistentes del evento.
Svbl dio la mala noticia publicando un listado en Twitter con los nombres de pila de 100 personas. “Si asististe a RSA 2018 y ves tu nombre publicado aquí… ¡lo siento!”, escribió Svbl junto al listado. El investigador había conseguido información mucho más detallada que la que publicó y la filtración involucraba a muchas más personas, pero limitó los datos que compartió para no perjudicar a los afectados.
“Para acceder a la lista de asistentes, el atacante tenía que registrarse para abrir una cuenta en la aplicación, iniciar sesión y tomar un token del archivo XML almacenado por la aplicación. Como sólo se necesita un correo electrónico para registrarse, cualquier persona que puede dejar los datos de su dispositivo Android también puede obtener el token e insertarlo en una solicitud de la interfaz web de la aplicación para descargar los nombres de los asistentes. La base de datos SQLite que se descarga está cifrada, pero otra solicitud API entregó la llave para descifrarla”, explicó Ars Technica después de analizar la amenaza.
“Otra base de datos SQLite que también puede descargarse mediante la API de la aplicación no está cifrada y contiene aún más información personal, incluyendo los nombres, direcciones, números de teléfono, compañías y enlaces a redes sociales. Ars examinó la base de datos y al parecer sólo contiene información sobre vendedores y conferencistas, por lo que es posible que sea insegura intencionalmente porque su exposición es menos peligrosa”, agregó Ars Technica en su publicación.
Los organizadores de la conferencia RSA confirmaron la vulnerabilidad en su aplicación: “Nuestra investigación inicial indica que se accedió sin permiso a los datos de 114 nombres y apellidos de los usuarios de la aplicación RSA Conference Mobile. No se consiguió ningún otro dato y todo indica que el incidente ya está contenido. Seguimos tomando este asunto en serio y vigilando la situación de cerca”, escribieron en la cuenta oficial de Twitter del evento.
Las repercusiones de la amenaza sobre los usuarios de la aplicación fueron limitadas, ya que el investigador limitó la información que publicó y no hay evidencias de que nadie más haya explotado la vulnerabilidad. Eventbase technology tardó sólo cuatro horas en solucionar el problema desde que se hizo público, y Svbl publicó felicitaciones en Twitter cuando la amenaza se neutralizó.
Fuentes
No way, RSA! Security conference’s mobile app embarrassingly insecure • Ars Technica
RSA conference app leaks user data • CyberScoop
RSA Conference has a leaky app… again! • Naked Security by Sophos
Una vulnerabilidad en la aplicación de la conferencia de seguridad RSA expone los datos de sus asistentes