Een beveiligingsonderzoeker die actief is onder de naam NinjaStyle, heeft een kwetsbaarheid ontdekt tijdens de Black Hat-beveiligingsconferentie in Las Vegas begin augustus. Hierdoor was hij in staat om gegevens te downloaden van alle 18.000 bezoekers.
Alle deelnemers aan Black Hat ontvingen een badge met een NFC-tag die leveranciers konden scannen, om informatie te vergaren en hun naderhand marketingmateriaal te e-mailen.
Tag
NinjaStyle kwam erachter dat er verschillende gegevens op de tag stonden. Het e-mailadres stond weliswaar niet in plain text op de tag, maar de tag bevatte wel een link die gebruikers vroeg om de BCard-app te downloaden. Via de programmeerinterface (API) van de BCard-app slaagde hij erin om gegevens van conferentiebezoekers op te vragen door een badgeID en eventID te verzenden. Hiervoor bleek geen enkele authenticatie nodig te zijn. Met een bruteforce-aanval kon de onderzoeker binnen zes uur alle mogelijke BadgeID’s uitproberen: namen, e-mailadressen, bedrijfsnamen, telefoonnummers en adresgegevens.
Legacy-systeem
NinjaStyle wilde de kwetsbaarheid op 9 augustus bij ITN International rapporteren, de aanbieder van BCard en het tag-systeem. De e-mail die hij naar security@ verzond (een adres dat door onderzoekers vaak gebruikt wordt om kwetsbaarheden door te geven) kon niet worden afgeleverd. Op 12 augustus had de onderzoeker wel contact: de API werd vervolgens binnen een etmaal uitgezet. ITN liet weten dat het om een legacy-systeem ging. NinjaStyle heeft inmiddels aangekondigd zich volgend jaar met valse gegevens op de Black Hat-beveiligingsconferentie te registreren.