Entendemos la complejidad de la ciberseguridad. Sin embargo, quizás una conferencia centrada en la seguridad informática y el cifrado debería tener más cuidado en proteger la información de los asistentes en su aplicación móvil.
Sin embargo.
A medida que finaliza la Conferencia RSA en San Francisco hoy, los organizadores se han visto obligados a admitir que no todo estaba en orden en su propio dominio. En concreto, un experto en seguridad que examinaba la app móvil de la RSA Conference descubrió que cierta información de los usuarios estaba accesible para aquellos que supieran dónde buscar.
Según el investigador svbl, la aplicación de conferencias RSA utilizó la API de http://eventbase.com, donde se encontraba la vulnerabilidad en la base de eventos.
Svbl compartió en Twitter los pasos que siguió para obtener la información y advirtió a los organizadores sobre lo que podría considerarse como una supervisión adecuada.
Paráfrasis: La RSA Conference reaccionó rápidamente y solucionó la vulnerabilidad, aunque su respuesta no obligó a los organizadores a abordar directamente la falla en su aplicación.
Según un comunicado, se ha descubierto que 114 nombres de usuario de la aplicación móvil de RSA Conference fueron accedidos de manera no autorizada en nuestra investigación inicial. No se ha obtenido ningún otro dato personal y todo apunta a que el incidente ha sido controlado.
El hecho de que solo 114 nombres y apellidos fueran accedidos no se debe a medidas excepcionales de seguridad cibernética, sino más bien a que svbl limitó su exploración a una rápida revisión para confirmar la vulnerabilidad antes de informarla.
De manera destacada, no es la primera ocasión en que la Conferencia RSA ha causado impacto con su organización de eventos.
El ingeniero y hacker Ming Chow señaló en un tuit que no es algo inesperado, al recordar la aplicación de la RSA Conference 2014 que almacenaba los nombres de los asistentes en una base de datos SQLite.
Además, este no era el único inconveniente que enfrentaban los integrantes de la comunidad de ciberseguridad con la aplicación de la conferencia. En particular, los permisos solicitados por la aplicación generaron muchas dudas.
Afortunadamente para las personas presentes, parece que svbl no tuvo intenciones negativas.
El investigador nos informó que solo tomó una pequeña muestra de datos, alrededor de 100 registros, antes de comunicárselo directamente a RSA. También expresó su sorpresa al ver que el problema fue solucionado de manera rápida por la empresa.
Aunque es importante contar con respuestas rápidas en temas de seguridad, los expertos en seguridad, como los de la Conferencia RSA, no deben depender de la colaboración de investigadores externos para garantizar la protección de los datos de los asistentes. Lamentablemente, esta situación es la realidad en la que nos encontramos actualmente.
Tema: Seguridad en el ámbito virtual.
Especialista en seguridad y privacidad con enfoque en criptomonedas y blockchain en San Francisco, con una actitud profesionalmente cautelosa.
