示意图,与新闻事件无关。
图片来源:Black△Hat
一位绰号为NinjaStyle的安全研究人员本周指出,通过外泄API就能找到2018年黑帽骇客大会(Black△Hat)与会人员的所有个资,包括电子邮件、地址、电话与公司名称等,由于参与黑帽大会的多为资安高手,有些与会者之间还存在对立关系,更使得NinjaStyle的发现受到瞩目。
举凡参加黑帽大会的人都会拿到一个名牌,名牌上有一个NFC标签,业者只要扫描该标签就能取得与会者的资料,NinjaStyle也参加了本月在美国拉斯维加斯举行的黑帽大会,因好奇心作祟,他下载了标签阅读器,看看自己的标签存放哪些讯息,结果只看见自己的真实姓名及一个可用来下载BCard名片阅读器程式的网址,其它都是乱码。
他觉得有些奇怪,因为在黑帽大会结束之后,与会者就会收到业者传来的大量行销邮件,但标签上并未存放电子邮件位址,这让他决定一探究竟。
NinjaStyle下载了BCard并将它反编译,发现BCard建立了一个由badgeID与eventID数值所组成的URL,于浏览器中输入后就取得了自己的完整与会资料,从姓名、地址、公司名称、部门、电子邮件、职称到电话号码等。
NinjaStyle说,此一应用程序介面(API)完全没有任何安全措施,也不需经过身份验证,若采用暴力破解法,大概只要花上6小时就能取得1.8万名黑帽大会与会者的详细个人资料。
黑帽大会在收到NinjaStyle的通知后,已于上周关闭了该介面。
I 相关 / Other
TensorFlow 2.0将舍弃部分API,预计下半年登场
官方预告即将在今年下半年释出的TensorFlow△2.0,重点目标将摆在易用性改善上,而最有看头的特色将围绕着Eager△Execution正式发布,这个命令式程式开发环境,能立即执行程式码评估操作,也就是说开发者能够进行即时
Google释出今年I/O大会Android App原始码,作为新兴行动应用开发典范
Google释出了Google△I/O△2018大会所用的Android应用程序原始码。今年的应用程序综合使用了Firebase、Kotlin与Material△Design等Google推出的新兴技术,开源其专案原始码能让开发者作为技术范例参考。有别于过去Go
Black Hat与Def Con骇客大会,文化与活动性质大不同
示意图,与新闻事件无关。 图片来源: DEF△CON 每年的“黑帽”(Black△Hat)与Def△Con大会通常是接连着举行,这两个都是全球最着名的骇客大会,却有截然不同的文化,前者是相对正式的企业或资安产业的安全大会,
示意图,与新闻事件无关。 图片来源: 脸书 在3月的剑桥分析非法使用8700万笔用户资料丑闻后,脸书紧缩第三方app权限。周二公布将关闭上万个闲置的app存取用户个资的API,并呼吁有在维护的app赶紧动作。脸书在5月间
实时热点原标题:关于CBA选秀这些你知道吗?明天上午,CBA选秀大会将在万达嘉华酒店举行。始于201CBA选秀大会即将在7月29日举行。届时,各支CBA球队可以按照顺位情况挑选球员。被球队选中的球员将被称作新秀。广州龙狮队