Black Hat 2018, svelata vulnerabilità imbarazzante



[ZEUS News - www.zeusnews.it - 25-08-2018]

falla black hat conference

Si può essere esperti di sicurezza, dare consigli agli utenti e scovare le falle nei sistemi altrui, ma ciò non significa che non si possano fare passi falsi proprio nel campo che si dovrebbe conoscere meglio.

La dimostrazione viene dalla Black Hat Conference di quest'anno, uno dei maggiori eventi dedicati alla sicurezza durante il quale sono state svelate alcune falle preoccupanti.

Uno dei partecipanti, noto con il nome in codice di NinjaStyle, s'è accorto che qualcosa non andava quando ha inserito la tessera (dotata di chip NFC) di accesso alla conferenza in un lettore e ha scoperto che conteneva il suo nome in chiaro, oltre ad altri dati non immediatamente leggibili.

iPhone 12 e pacemaker, meglio che stiano lontani
Falle nei dispositivi medici, così gli hacker possono fermare un pacemaker
Due vulnerabilità di carte di credito col chip
Il lettore che ti clona la carta di credito

Tra le informazioni in chiaro c'ra anche un indirizzo web da cui scaricaer un'app, decompilando la quale NinjaStyle ha scoperto un'API che gli è subito stata utile.

Tramite essa è infatti riuscito a ottenere i propri dati dai server della Black Hat, senza dover affrontare alcun controllo di sicurezza. Non solo: ha potuto accedere anche alle informazioni di centinaia di altri partecipanti.

In sei ore ha così ottenuto i nomi, gli indirizzi di casa e email, il nome delle aziende per cui lavorano e i numeri di telefono di tutti coloro che si sono registrati alla Black Hat Conference.

Sondaggio
Da dove scarichi di solito i file (app, film, libri, giochi)?
Scarico i file da fonti sempre diverse
Scarico file da siti di cui mi fido
Non scarico molti file e presto sempre attenzione al sito da cui li scarico
Scarico i file solo da negozi online e da app store di fiducia
Non scarico nulla

Mostra i risultati (1382 voti)
Leggi i commenti (12)

Fortunatamente, a scoprire la falla è stato un hacker senza alcun intento malevolo: egli ha segnalato il problema agli organizzatori, i quali hanno provveduto a sistemarlo.

Pare infatti che la falla fosse legata a un vecchio sistema, e l'API in questione è stata eliminata non appena è giunta la segnalazione.

Resta solo l'imbarazzo per la presenza di una vulnerabilità del genere in uno dei più noti incontri incentrati sulla sicurezza.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
iPhone 12 e pacemaker, meglio che stiano lontani
Falle nei dispositivi medici, così gli hacker possono fermare un pacemaker
Due vulnerabilità di carte di credito col chip
Il lettore che ti clona la carta di credito
Chiavette USB, la nuova frontiera del malware

Commenti all'articolo (1)


Gladiator
A volte il calzolaio va in giro con le scarpe rotte... :wink:
27-8-2018 11:31
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Immaginiamo un mondo popolato dalle auto di Google: senza pilota, senza sterzo e senza pedali. Qual è il maggior svantaggio? (vedi anche i vantaggi)
L'auto di Google è veramente brutta! Più che un auto è un'ovovia.
Ci toglierà il piacere di guidare e la nostra vita sarà un po' più triste.
Avrà un costo non sostenibile per la maggior parte degli utenti.
Ci sarà maggior traffico: con un'auto senza pilota il trasporto privato verrebbe incentivato rispetto al trasporto pubblico.
Il Gps incorporato potrebbe non essere efficiente, costringendoci a fare percorsi più lunghi o più lenti o addirittura non portandoci mai a destinazione.
Ho timori soprattutto per la privacy: le auto di Google potranno collezionare dati su come mi sposto e quando.
In caso di incidente con nessuno al volante, non è chiaro di chi sarà la responsabilità civile. E a chi tocca pagare l'assicurazione? All'utente o a Google? O allo Stato?
Sarà esposta ad attacchi hacker o terroristici: di fatto avremo minore sicurezza sulle strade.
Se il sistema prevede un urto inevitabile, potrebbe trovarsi di fronte a scelte etiche insormontabili. Uccidere un anziano o un bambino? Due uomini o un bambino? Un uomo o una donna? Uscire di strada o urtare altri veicoli o pedoni? Andare addosso a un SUV o a un'utilitaria?
Rispetto alle auto tradizionali impiegheranno troppo tempo ad arrivare a destinazione, non potendo superare i limiti di velocità o fare manovre azzardate.
I tassisti non esisteranno più: già immagino le loro legittime proteste.

Mostra i risultati (1990 voti)
Maggio 2021
n. 3494 del 12-05-2021
WhatsApp, funzionalità ridotte se non si vogliono regalare i dati a Facebook
n. 3493 del 06-05-2021
La scorciatoia da tastiera che scongela il Pc
n. 3492 del 05-05-2021
Bye bye, Emotet
n. 3491 del 03-05-2021
Bambini e smartphone, 1.500 euro di multa ai genitori che non li sorvegliano
Aprile 2021
n. 3490 del 30-04-2021
Office manda in pensione Calibri: quale nuovo font preferite?
n. 3489 del 26-04-2021
Windows 10, arriva l'Eco Mode per far tornare scattante il Pc
n. 3488 del 23-04-2021
Microsoft pronta a lanciare Cloud PC, il desktop in streaming
n. 3487 del 21-04-2021
Aggiornamento Windows 10, problemi di tutti i tipi
n. 3486 del 18-04-2021
Se l'FBI, zitta zitta, si mette a patchare i server altrui
n. 3485 del 15-04-2021
Colpevoli di ransomware
n. 3484 del 13-04-2021
Tutti gli home banking sono a rischio, se usi Facebook
n. 3483 del 09-04-2021
Windows 10 rileverà la presenza dell'utente davanti al computer
n. 3482 del 06-04-2021
Yahoo Answers chiude i battenti per sempre
n. 3481 del 02-04-2021
Aggiornamento urgente per iPhone e iPad
Marzo 2021
n. 3480 del 31-03-2021
La macchina di Anticitera
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 14 maggio
2020
Licenziata da Autogrill per le critiche su Facebook
2019
Lenovo svela il portatile con schermo pieghevole
2018
Il flipper fatto completamente di mattoncini Lego
2017
WannaCry/WanaCryptor, attacco ransomware planetario
2016
Sta per scadere il periodo di aggiornamento gratuito a Windows 10
2015
Le 7 versioni di Windows 10
2014
Gmail, c'è una modifica radicale in ballo
2013
Quei messaggi nascosti nei Bitcoin
2012
1.800 hotspot Wi-Fi nelle cabine telefoniche di Londra
2011
Il mouse di feltro
2010
Telecom, nessuna collaborazione per la rete in fibra ottica
2008
On line i dati personali di 6 milioni di persone
2007
Un trojan tedesco per l'aggiornamento automatico di Windows
2006
Lavorare nei call center fa diventare belli
2005
Quelli di Zeus si lamentano da Striscia
2004
Voli di linea e dati personali
2003
Attenzione, arriva Fizzer
2001
Cd audio: poche idee ma ben confuse
Olimpo Informatico


 
web metrics