Una base de datos con información de más de 1,3 millones de usuarios de la nueva red social exclusiva para iPhone, la casa club, se publicó de forma gratuita en un popular foro de intercambio de fugas en la Internet superficial.
La “filtración”, sin embargo, no es más que un “raspado de datos” que se puede acceder a través de una plataforma API. O sea, la base de datos ofrecido en el foro de ciberdelincuentes es una recopilación de información que los propios usuarios han publicado en sus perfiles, públicamente.
El banco ofrece datos como identificación de usuario; Nombre; foto de perfil; enlace a otras redes sociales del usuario; número de seguidores y número de personas que siguen a un usuario en particular; además de la fecha de creación de la cuenta y el usuario al que fue invitado.
Es importante recordar que no hay datos sensibles (como contraseña, número de seguro social o documentos personales) expuestos en la base de datos. Además, ningún servidor Clubhouse se ha visto comprometido en un ciberataque.
El punto de esta “fuga” es que debe ser invitado a acceder a esta información de otros usuarios. Siendo así, ahora es posible acceder a una parte de los datos de la plataforma, incluso sin ser invitado.
En respuesta a una publicación en Twitter, los desarrolladores de Cluhouse dijeron: “Esto es engañoso y falso. La casa club no ha sido pirateada ni pirateada. Los datos referidos son toda la información de perfil público de nuestra aplicación., a la que cualquiera puede acceder a través de la aplicación o nuestra API “.
Según Mantas Sasnauskas, investigador de seguridad de la información de Cybernews, la casa club tiene serios problemas de privacidad, principalmente por decir en la política de privacidad que no permiten la extracción ni el scraping de datos.
“La forma en que está construida la aplicación Clubhouse permite que cualquiera tenga un token, o mediante una API, consultar todo el cuerpo de información pública en el perfil del usuario de Clubhouse, y parece que el token no caduca”, explica el investigador.
A principios de este año, un desarrollador pudo reproducir una copia de la aplicación Clubhouse, romper la necesidad de ser invitado a unirse a la plataforma. La aplicación paralela se apagó al poco tiempo de conectarse, pero pudo transmitir los contenidos que circulaban en la aplicación cerrada, a cualquier otra persona interesada que no tuviera acceso a una invitación.
Fuentes: Cybernews; Casa club a través de Twitter.
See the original post at: https://thehack.com.br/vazamento-do-clubhouse-e-so-mais-uma-raspagem-de-dados-publicos/?rand=48889
