Op de Cybersecurity-beurs RSA 2016 kunnen exposanten, net als op veel andere beurzen, badges van bezoekers scannen om informatie te verzamelen. Op deze beurs wordt dat gedaan met Samsung Galaxy S4-smartphones in combinatie met een app.

Beveiligingsonderzoeker Andrew Blaich, van Bluebox security, besloot de scan-app (die gewoon in Google's playstore staat) eens goed onder handen te nemen en kwam erachter dat er een standaard admin-wachtwoord is ingebouwd.

"Met dit wachtwoord kunnen aanvallers toegang krijgen tot de ontwikkelaarsmodus van de app. Daarnaast kan het apparaat worden geroot en kan er data worden uitgelezen en malware worden geïnstalleerd," aldus Blaich.

Het erge (en ironische) hiervan is dat de badges gelinkt zijn aan een database waarin alle informatie van bezoekers aan de beveiligingsconferentie is opgeslagen. Je zou verwachten dat er op een beurs als deze extra goed wordt gelet op het beveiligen van data. Maar Blaich ontkracht dat. "Het feit dat de app wordt gebruikt op een van de grootste cyber security conferenties ter wereld, betekent niet automatisch dat deze beter is beveiligd."

De onderzoeker gaat ervan uit dat dit wachtwoord is opgeslagen om gebruikt te worden als terugvalmechanisme voor het geval medewerkers hun zelf aangemaakte wachtwoord zouden vergeten.