Um banco de dados com informações de mais de 1,3 milhões de usuários da nova rede social exclusiva para iPhones, o Clubhouse, foi publicado de forma gratuita em um fórum popular de compartilhamento de vazamentos, na internet superficial.
- Facebook confirma data scraping, mas não notificará vítimas
- Quase 280 criadores do OnlyFans tiveram seus conteúdos adultos vazados
- Ataque de cadeia de suprimentos à Accellion afeta empresa de segurança: conheça as vítimas
O "vazamento", no entanto, não passa de uma "raspagem de dados" públicos que podem ser acessados através de uma API da plataforma. Ou seja, o banco de dados oferecido no fórum cibercriminoso é uma coletânea de informações que os próprios usuários publicaram em seus perfis, de forma pública.
O banco oferece dados como ID de usuário; nome; foto de perfil; link para as outras redes sociais do usuário; número de seguidores e número de pessoas que seguem determinado usuário; além de data de criação da conta e usuário pelo qual foi convidado.
É importante lembrar que não há dados sensíveis (como senha, CPF ou documentos pessoais) expostos no banco de dados. Também que nenhum servidor do Clubhouse foi comprometido em um ataque cibernético.
A questão deste "vazamento" é que é necessário ser convidado para acessar essas informações de outros usuários. Sendo assim, agora é possível acessar uma parcela dos dados da plataforma, mesmo sem ser convidado.
Em resposta a uma publicação no Twitter, os desenvolvedores do Cluhouse se manifestaram dizendo: "Isso é enganoso e falso. O Clubhouse não foi violado ou hackeado. Os dados referidos são todas as informações de perfil público de nosso aplicativo, que qualquer pessoa pode acessar por meio do aplicativo ou de nossa API".
Segundo Mantas Sasnauskas, pesquisador de segurança da informação para o Cybernews, o Clubhouse tem sérios problemas de privacidade, principalmente por dizerem na política de privacidade que não permitem extração ou raspagem de dados.
“A forma como o aplicativo Clubhouse é construído permite que qualquer pessoa tenha um token, ou através de uma API, para consultar todo o corpo de informações públicas do perfil do usuário do Clubhouse, e parece que o token não expira", explica o pesquisador.
No começo deste ano, um desenvolvedor conseguiu reproduzir uma cópia do aplicativo Clubhouse, quebrando a necessidade de ser convidado para participar da plataforma. O aplicativo paralelo foi desligado pouco tempo após ficar online, mas era capaz de transmitir os conteúdos que circulavam no aplicativo fechado, para qualquer outra pessoa interessada, que não teve acesso a um convite.
Fontes: Cybernews; Clubhouse via Twitter.