外泄API恐让黑帽大会所有与会者的个资曝光

一名绰号为NinjaStyle的安全研究人员本周指出，透过外泄API就能找到2018年黑帽骇客大会（Black Hat）与会人员的所有个资，包括电子邮件、地址、电话与公司名称等，由于参与黑帽大会的多为资安高手，有些与会者之间还存在对立关系，更使得NinjaStyle的发现受到瞩目。

举凡参加黑帽大会的人都会拿到一个名牌，名牌上有一个NFC标签，业者只要扫描该标签就能取得与会者的资料，NinjaStyle也参加了本月在美国拉斯维加斯举行的黑帽大会，因好奇心作祟，他下载了标签阅读器，看看自己的标签存放哪些讯息，结果只看见自己的真实姓名及一个可用来下载BCard名片阅读器程式的网址，其它都是乱码。

他觉得有些奇怪，因为在黑帽大会结束之后，与会者就会收到业者传来的大量行销邮件，但标签上并未存放电子邮件位址，这让他决定一探究竟。

NinjaStyle下载了BCard并将它反编译，发现BCard建立了一个由badgeID与eventID数值所组成的URL，于浏览器中输入后就取得了自己的完整与会资料，从姓名、地址、公司名称、部门、电子邮件、职称到电话号码等。

NinjaStyle说，此一应用程序界面（API）完全没有任何安全措施，也不需经过身份验证，若采用暴力破解法，大概只要花上6小时就能取得1.8万名黑帽大会与会者的详细个人资料。

黑帽大会在收到NinjaStyle的通知后，已于上周关闭了该界面。