屁颠屁颠参加 RSA 安全大会，却不料官方 APP 泄露了你的数据！

使用硬编码的API数据，就能获取RSA大会与会者的联系资料。

来自谷歌Play商店的RSA大会应用程序的屏幕截图。附带通过注册应用程序获得的令牌时，该应用程序的Web接口泄露了与会者的数据。

第三方为本周在旧金山举行的RSA安全大会开发的一款移动应用程序被曝出本身存在几个安全问题，包括硬编码的安全密钥和密码，因而让研究人员得以获取大会的与会者名单。大会主办单位在Twitter上承认了这一漏洞，不过表示只有114名与会者的姓名被暴露。

我们的初步调查表明，RSA大会移动应用程序的114个用户的姓名遭到不适当访问。其他个人信息没有被访问，我们明确表示，该事件已得到了控制。我们会继续重视此事，密切关注势态。

RSA大会的移动应用程序是EventbaseTechnology开发的。一名安全工程师发现了这个漏洞，他在审查这款移动应用程序时发现了漏洞，于是发到了推文上。透露后四小时内，Eventbase修复了数据泄露――问题出在一个API调用上，它让任何人都可以下载附有与会者信息的数据。

访问与会者名单需要为该应用程序注册一个帐户，登录，然后从应用程序存储的XML文件获取令牌。由于注册应用程序只需要电子邮件地址，凡是可以从Android设备转储文件的人都能获得令牌，然后将其插入到基于Web的应用程序接口调用，即可下载与会者姓名。虽然下载的SQLite数据库已被加密，但另一个API调用提供了该密钥。

另一个仍可以通过应用程序的API获取的SQLite数据库没有加密，它包含更多的个人信息，包括姓名、地址、电话号码、公司名称和社交媒体帐户链接。IT外媒ArsTechnica查看了该数据库，它似乎只含有厂商和演讲者数据，所以它可能是有意不安全的，因为它不那么敏感。

这已是RSA移动应用程序第二次泄露与会者数据了。2014年，当时供职于IOactive的冈特•奥尔曼（Gunter Ollmann）发现另一家开发商QuickMobile开发的一款应用程序有一个SQLite数据库，里面含有注册与会者的个人信息。