0
0
Até agora, parece que foi a pior semana do ano para plataformas de mídia social em termos de vazamentos de dados, com o Clubhouse aparentemente se juntando à briga.
Dias depois de dados raspados de mais de um bilhão de perfis do Facebook e linkedIn, coletivamente falando, foi colocado à venda online, parece que agora é a vez do Clubhouse. A plataforma upstart parece ter experimentado o mesmo destino, com um banco de dados SQL contendo 1,3 milhões de registros de usuários raspados do Clubhouse vazados gratuitamente em um fórum de hackers popular.
Para ver se alguma de suas contas online foi exposta em violações de segurança anteriores, use nosso verificador de vazamento de dados pessoais com uma biblioteca de mais de 15 bilhões de registros violados.
O que vazou?
O banco de dados vazado contém uma variedade de informações relacionadas ao usuário a partir de perfis do Clubhouse, incluindo:
- identificação de usuário
- nome
- URL de foto
- Nome do usuário
- Alça do Twitter
- Alça do Instagram
- Número de seguidores
- Número de pessoas seguidas pelo usuário
- Data de criação de conta
- Convidado pelo nome do perfil do usuário
Exemplo de dados vazados:
A API clubhouse permite que qualquer pessoa realize arranhões em massa de dados do usuário?
Atualizado em 04/11: O Clube emitiu um comunicado sobre o incidente nas redes sociais, dizendo que eles não sofreram uma violação de seus sistemas. A empresa disse que os dados já estão disponíveis publicamente e que podem ser acessados por “qualquer pessoa” através de sua API.https://platform.twitter.com/embed/Tweet.html?creatorScreenName=CyberNews&dnt=true&embedId=twitter-widget-0&features=eyJ0ZndfZXhwZXJpbWVudHNfY29va2llX2V4cGlyYXRpb24iOnsiYnVja2V0IjoxMjA5NjAwLCJ2ZXJzaW9uIjpudWxsfSwidGZ3X2hvcml6b25fdHdlZXRfZW1iZWRfOTU1NSI6eyJidWNrZXQiOiJodGUiLCJ2ZXJzaW9uIjpudWxsfX0%3D&frame=false&hideCard=false&hideThread=false&id=1381066324105854977&lang=en&origin=https%3A%2F%2Fcybernews.com%2Fsecurity%2Fclubhouse-data-leak-1-3-million-user-records-leaked-for-free-online%2F&sessionId=9df7baab801804ac7645bf558addc76ef6d1c31b&siteScreenName=CyberNews&theme=light&widgetsVersion=ff2e7cf%3A1618526400629&width=500px
Além de provocar um debate acalorado sob a declaração da empresa no Twitter, isso levanta algumas questões sobre a postura de privacidade da empresa: permitir que todos reúnam e baixem até mesmo informações de perfil público em escala de massa podem ter graves consequências negativas para a privacidade do usuário.
Atualizado em 12/04: De acordo com o pesquisador sênior de segurança da informação da CyberNews Mantas Sasnauskas, a postagem de dados de usuários raspados do Clubhouse revela um potencial problema de privacidade dentro da própria plataforma de mídia social: “A maneira como o aplicativo Clubhouse é construído permite que qualquer pessoa com um token, ou através de uma API, consulte todo o corpo de informações públicas do perfil do usuário do Clubhouse, e parece que o token não expira.”
Sasnauskas argumenta que, embora a política de privacidade do Clubhouse não permita a mineração de dados não autorizados e a raspagem de dados, a plataforma deve ir além de simplesmente declarar isso nas regras. “Isso não deve se refletir apenas no ToS, mas também na implementação técnica do aplicativo, dificultando a raspagem dos dados do usuário. Não ter medidas anti-raspagem em vigor pode ser visto como uma questão de privacidade.”
Entramos em contato com o Clubhouse sobre sua política de API e atualizaremos a história assim que tivermos mais informações.
Qual é o impacto?
Os dados dos arquivos vazados podem ser usados por atores de ameaças contra usuários do Clubhouse, realizando phishing direcionado ou outros tipos de ataques de engenharia social.
O banco de dados SQL publicado no fórum de hackers contém apenas informações do perfil do Clubhouse – não encontramos dados profundamente confidenciais, como detalhes de cartão de crédito ou documentos legais no arquivo postado pelo ator de ameaças. Dito isso, até mesmo um nome de perfil, com conexões com outros perfis de mídia social identificados e estabelecidos pelo usuário, pode ser suficiente para um cibercriminoso competente causar danos reais.
Atacantes particularmente determinados podem combinar informações encontradas no banco de dados SQL vazado com outras violações de dados, a fim de criar perfis detalhados de suas potenciais vítimas. Com essas informações em mãos, eles podem encenar ataques de phishing e engenharia social muito mais convincentes ou até mesmo cometer roubo de identidade contra as pessoas cujas informações foram expostas no fórum de hackers.
Próximos passos
Se você suspeitar que os dados do seu perfil do Clubhouse podem ter sido vazados por atores de ameaças, recomendamos que você:
- Cuidado com mensagens suspeitas do Clubhouse e pedidos de conexão de estranhos.
- Considere usar um gerenciador de senhas para criar senhas fortes e armazená-las com segurança.
- Habilite a autenticação de dois fatores (2FA) em todas as suas contas online.
Além disso, cuidado com possíveis e-mails de phishing e mensagens de texto. Mais uma vez, não clique em nada suspeito ou responda a alguém que você não conheça.
Fique ligado para mais informações
Nossa investigação sobre o despejo de dados do Clubhouse está em andamento, e vamos atualizar a história à medida que ela se desenrola.
Enquanto isso, considere usar nosso verificador de vazamento de dados pessoais com uma biblioteca de mais de 15 bilhões de contas violadas para descobrir se alguma de suas contas online foi vazada em violações anteriores.
FONTE: CYBERNEWS