安全专家发现了一种方法来捕捉免费在黑帽,由于错误的视频流服务使用的安全会议。
网络安全主管迈克尔·科茨Mozilla,说他发现几个问题在试图注册395美元的服务。他经历了注册过程,是“很快岔开了几个古怪的设计,”他写道博客描述这一事件。
他一点戳来戳去,发现他可以注册一个账户没有提供任何超过一个电子邮件地址,然后使用该帐户在考试登录页面访问免费视频。
“现在,公平地讲,黑帽没有操作这个视频服务本身,”科茨写道。“但它仍然有点讽刺意味的是,世界上最大的黑客大会上有安全漏洞的视频流服务。”
黑帽的视频流Inxpo今年提供的。
这是第一年会议会话的会议使视频流,黑帽主任杰夫·莫斯说。像其他公司一样,会议需要与第三方合作时的风险。“我一直担心这些系统,因为我们不可以访问他们的源代码,我们不能检查它,”他说。“我们没有时间写视频软件,因此我们选择一个供应商,我们觉得很好…显然他们以前从未举办安全流。”
黑帽子和它的姊妹酒店合作伙伴会议核战危机通常会类似的安全渗透测试当他们开始主持会议。第一年,酒店的电视系统或电话线路会砍,然后最终锁定下来。“这就像他们的燃烧试验:欢迎来到黑帽子,”莫斯说。
科茨说,他通知了视频流公司博客的问题之前,他们很快解决了这个bug。Inxpo未能立即置评。
莫斯,一个会议致力于安全问题的披露,除了赞扬了科茨的安全。“嗯好对他来说,那很酷,”他说。“如果你不能保护你的东西,这是发生了什么。”
罗伯特·麦克米兰涵盖了计算机安全和通用技术新闻IDG新闻服务。在Twitter上关注罗伯特@bobmcmillan。罗伯特的电子邮件地址robert_mcmillan@idg.com