Uno de los eventos de ciberseguridad más importante del mundo que se realizó en Las Vegas, Nevada (Estados Unidos), del 4 al 9 de agosto, logró ser hackeado por un pirata identificado bajo el seudónimo NinjaStyle.
La conferencia BlackHat, que se realiza todos los años y tiene varias ediciones en distintos países, fue atacada por uno de sus propios asistentes quien vulneró la seguridad de uno de los sistemas de registro y consiguió nombres, direcciones de mail, empresas y otros datos de los concurrentes al evento.
Se trata de un investigador en seguridad de Colorado, quien detalló en su blog que utilizó un lector para acceder a los datos contenidos en su credencial equipada con NFC, en la que estaba almacenado su nombre en texto sin formato y otros datos codificados.
«Aquellos que han asistido a BlackHat pueden haber notado que su insignia contiene una etiqueta NFC. Esta etiqueta NFC se escanea en las cabinas del Business Hall para que los vendedores puedan recopilar sus datos de marketing, incluidos el nombre, la dirección, la empresa, el cargo y el número de teléfono. Después de BlackHat, los asistentes a los que varios proveedores han escaneado sus insignias reciben una avalancha de correos electrónicos de marketing. Una cosa de la que no tenía conocimiento inicialmente era qué datos estaban realmente contenidos dentro de la etiqueta», comienza su artículo ¿Cómo pirateé BlackHat 2018?
Falla en el sistema
El informático explicó cómo descubrió la vulnerabilidad, y cuánto tiempo le hubiera llevado conseguir todos los datos de los registrados a la conferencia. «Tuve algunas preguntas: ¿cómo obtienen los vendedores mi dirección de correo electrónico? ¿Están todos mis datos almacenados en la tarjeta y solo algunos de ellos están encriptados? ¿Existe una API que pueda utilizar para extraer el resto de mis datos? Unos días más tarde, decidí volver a visitar esto y descargué el APK de BCard. Utilicé la herramienta Jadx para descompilar el APK en Java y comencé a compilar el resultado para cualquier posible punto final API», agrega.
El hacker encontró una particularidad en el código que usó para extraer sus propios datos del servidor sin ninguna verificación de seguridad. Valiéndose de esta falla, comenzó a probar con distintas direcciones web a las que les variaba un número de identificación al azar, y fue encontrando datos guardados de los asistentes al evento, sin ninguna protección, reseña Clarín.
«La velocidad a la que pudimos aplicar la fuerza bruta a la API significaría que podríamos recopilar con éxito todos los nombres, direcciones de correo electrónico, nombres de compañías, números de teléfono y direcciones de asistentes registrados de BlackHat 2018 en solo aproximadamente 6 horas», determinó el pirata informático.
El investigador se puso en contacto con la empresa encargada del sistema para alertarlos, y en menos de 24 horas consiguió que cambiaran los protocolos de seguridad.
https://www.elciudadano.cl/estados-unidos/microsoft-revela-intento-de-hackeo-ruso-contra-grupos-politicos-de-ee-uu/08/21/
https://www.elciudadano.cl/ciencia-tecnologia/detenido-estudiante-por-robar-5-millones-en-criptomonedas-hackeando-celulares/08/01/