RSA大会网上注册被吐槽：收集注册者Twitter明文凭证

最近，安全专家们在Twitter上发现一个奇怪现象：RSA信息安全大会网站注册页面要求收集注册者的Twitter登录明文凭证，并将其发送回RSA的服务器上，而其在安全方面的设计令很多安全专家吐槽。

Freebuf 百科：RSA信息安全大会

RSA大会是信息安全界最有影响力的业界盛会之一。它于1991年由RSA公司(现为EMC公司信息安全事业部)发起，得到了业界的广泛支持。RSA大会一年一度分别在美国、欧洲和日本举办，其议程设计由信息安全从业者及其它相关专业人士评判和制定。19年来，RSA大会一直吸引着世界上最优秀的信息安全人士，创造机会让参会者跟同辈和杰出人物、跟新兴企业和知名企业直接交流，了解IT安全的最重要课题。随着IT安全领域的重要性和影响力不断提升，RSA大会在连接和培养全球信息安全专业人士方面，扮演着不可或缺的角色。

RSA网站注册要求提供Twitter登录凭证

最近，安全专家们在Twitter上发现了一个奇怪的事情，那就是在RSA会议网站上注册会员时，最后一步会请求注册者的Twitter登录凭证（明文登录密码），在注册者输入之后，会将其发送回RSA会议的服务器上。

你没有听错，确实是输入Twitter登录凭证。RSA的执行安全行动论坛（Executive Security Action Forum，ESAF）组织正在收集注册者的Twitter账户密码，而这一行为是通过专用的形式进行的。

在RSA会议网站注册页面的最后一步中，要求注册者提供社交媒体信息。

通过这种方式，用户的Twitter凭证直接被发送回RSA会议组织的服务器上。

输入的凭证竟然为明文

更让人不解的是，页面请求的竟然是明文密码，而并非实现可以保存用户数据的OAUTH身份验证机制。很多安全专家们表示很不解，同时对这一“最失败”的安全措施大喊大叫：为什么一家世界上最重要的安全公司会做如此愚蠢的事情呢？

所以，如果你计划参加下一届RSA会议，那么就直接跳到注册过程的最后一页，并填写你的Twitter登录凭证吧。

*参考来源：SecurityAffairs，FB小编JackFree编译