使用硬編碼的API數(shù)據(jù)，就能獲取RSA大會(huì)與會(huì)者的聯(lián)系資料。

        來自谷歌Play商店的RSA大會(huì)應(yīng)用程序的屏幕截圖。附帶通過注冊(cè)應(yīng)用程序獲得的令牌時(shí)，該應(yīng)用程序的Web接口泄露了與會(huì)者的數(shù)據(jù)。

        第三方為本周在舊金山舉行的RSA安全大會(huì)開發(fā)的一款移動(dòng)應(yīng)用程序被曝出本身存在幾個(gè)安全問題，包括硬編碼的安全密鑰和密碼，因而讓研究人員得以獲取大會(huì)的與會(huì)者名單。大會(huì)主辦單位在Twitter上承認(rèn)了這一漏洞，不過表示只有114名與會(huì)者的姓名被暴露。

        我們的初步調(diào)查表明，RSA大會(huì)移動(dòng)應(yīng)用程序的114個(gè)用戶的姓名遭到不適當(dāng)訪問。其他個(gè)人信息沒有被訪問，我們明確表示，該事件已得到了控制。我們會(huì)繼續(xù)重視此事，密切關(guān)注勢(shì)態(tài)。

        RSA大會(huì)的移動(dòng)應(yīng)用程序是EventbaseTechnology開發(fā)的。一名安全工程師發(fā)現(xiàn)了這個(gè)漏洞，他在審查這款移動(dòng)應(yīng)用程序時(shí)發(fā)現(xiàn)了漏洞，于是發(fā)到了推文上。透露后四小時(shí)內(nèi)，Eventbase修復(fù)了數(shù)據(jù)泄露――問題出在一個(gè)API調(diào)用上，它讓任何人都可以下載附有與會(huì)者信息的數(shù)據(jù)。

        訪問與會(huì)者名單需要為該應(yīng)用程序注冊(cè)一個(gè)帳戶，登錄，然后從應(yīng)用程序存儲(chǔ)的XML文件獲取令牌。由于注冊(cè)應(yīng)用程序只需要電子郵件地址，凡是可以從Android設(shè)備轉(zhuǎn)儲(chǔ)文件的人都能獲得令牌，然后將其插入到基于Web的應(yīng)用程序接口調(diào)用，即可下載與會(huì)者姓名。雖然下載的SQLite數(shù)據(jù)庫(kù)已被加密，但另一個(gè)API調(diào)用提供了該密鑰。

        另一個(gè)仍可以通過應(yīng)用程序的API獲取的SQLite數(shù)據(jù)庫(kù)沒有加密，它包含更多的個(gè)人信息，包括姓名、地址、電話號(hào)碼、公司名稱和社交媒體帳戶鏈接。IT外媒ArsTechnica查看了該數(shù)據(jù)庫(kù)，它似乎只含有廠商和演講者數(shù)據(jù)，所以它可能是有意不安全的，因?yàn)樗荒敲疵舾小?/span>

        這已是RSA移動(dòng)應(yīng)用程序第二次泄露與會(huì)者數(shù)據(jù)了。2014年，當(dāng)時(shí)供職于IOactive的岡特•奧爾曼（Gunter Ollmann）發(fā)現(xiàn)另一家開發(fā)商QuickMobile開發(fā)的一款應(yīng)用程序有一個(gè)SQLite數(shù)據(jù)庫(kù)，里面含有注冊(cè)與會(huì)者的個(gè)人信息。