研究人员发现，今年参加BlackHat安全会议的每个人的完整通讯信息都以明文形式公开。这些信息包括姓名，电子邮件，公司和电话号码。

BlackHat 2018会议徽章嵌入了近场通信（NFC）标签，该标签存储了与会者的联系方式，用于进行识别或为供应商营销提供便利。

一位网名为NinjaStyle①的安全专家注意到，用NFC芯片读取器扫描他的徽章时，能够以明文形式看到他真正的全名，但电子邮件地址和其他信息却不会。在芯片的不同记录中，读取器将用户指向BCard应用程序——一款用于Android和IOS系统的名片阅读器。

NinjaStyle启动推荐的读卡器并反编译其APK以寻找潜在的API端点。他发现BCard应用程序借助徽章和事件标识值创建了一个自定义URL，并确定了如何构建这些标识值。

“虽然我们可以在上面显示的代码中证明这一点，但我只是猜测一下，通过在Firefox中发送请求，这些标识值与事件ID和徽章ID参数能够对应起来。令我惊讶的是，我的与会者数据能够完全未经验证就通过这个API端点。”NinjaStyle在他的博客文章中揭露了这一故障。

这些细节以及足以开展暴力攻击，收集所有BlackHat与会者的联系方式。研究人员通过反复试验发现，有效ID数据的范围在100000-999999之间，因此他可以开始提取细节。

“据估计有18,000名BlackHat与会者，可以假设我们将在大约2％的与会者中列举出有效的徽章ID，”他总结道。

NinjaStyle使用Burp Suite来测试他的观点，估计要想获得所有BlackHat与会者的通讯信息大约需要6个小时;考虑到在安全行业，这一会议是全球黑客、企业和政府机构的大聚会，因此仅仅6个小时是非常值得的。

该研究人员能够联系BCard制造商以披露安全漏洞，由于它是一个遗留系统，因此该漏洞在不到24小时内就通过禁用泄漏的API端点修补了。

值得一提的是，今年RSA大会的官方应用程序没有受到保护，因此与会者信息被泄露了，总共有144条未经授权的访问记录。19日会议刚结束，就听闻此次RSA大会注册网站被攻陷，注册人员信息全部泄漏。后经过初步分析，确认部分信息是由于官网移动App硬编码的缺陷而暴露了出来，但仅仅包含了First Name信息，影响并不是很严重。

然而问题现实存在，让不少参会人员疾呼:我们参加安全会议居然让自己的个人信息被黑掉，是可忍孰不可忍啊！这确实给所有人敲响了警钟，应了老生常谈的一句话，没有绝对的安全！

注①：NinjaStyle，美国科罗拉多州的渗透测试和安全研究员，Twiteer：NinjaStyle82。