NEWS

I dati di 1,3 milioni di utenti di Clubhouse oggetto di compravendita?

Dopo Facebook e LinkedIn anche la nuova piattaforma social Clubhouse finisce nel mirino degli aggressori con un apparente data leak che coinvolge più di 1 milione di utenti. Clubhouse, la startup che ha recentemente innovato il mondo dei social, con la sua app “a solo invito” è stata colpita dall’ultimo caso di furto di dati degli utenti, che è poi sfociato nella pubblicazione dei record stessi su un forum underground, senza il versamento di alcun corrispettivo (i dati sono consultabili pubblicamente). Si tratta di un file che contiene dati personali relativi a 1,3 milioni di utenti Clubhouse.

Pierguido Iezzi, co-fondatore e Ceo di Swascan

(Nella foto: Pierguido Iezzi, co-fondatore e Ceo di Swascan)

Nomi utente, ID, URL delle foto, numero di follower, account Twitter e Instagram, data di creazione dell’account e anche informazioni sul profilo che ha dato l’invito all’app, sono fra le informazioni contenute all’interno di questo database, secondo quanto rivelato da CyberNews. Con queste informazioni, gang o criminal hacker solitari potrebbero creare campagne di phishing mirate o altri schemi basati sul social engineering.

La risposta di Clubhouse - Tramite i propri rappresentati, Clubhouse ha dichiarato che la messa a disposizione dei dati dei propri utenti non è causata da un bug ma dal funzionamento stesso della piattaforma, ovvero dal modo in cui è costruita.

Sulla base di quanto dichiarato però, non è chiaro capire come tale circostanza possa essere rilevante per gli utenti coinvolti da questo data leakage.

La piaga delle API social “colabrodo” - I termini di servizio di Clubhouse proibiscono chiaramente il data scraping, ovvero quell’attività di estrapolazione dei dati automatizzata, ma la sua API, come ammesso da Clubhouse stessa, è disponibile online, è non dispone di alcun tipo di protezione verso questa pratica.

Le politiche d’uso sono apparentemente in conflitto nel caso di Clubhouse: si tratta di una piattaforma “a solo invito” ma al tempo stesso i dati utenti sono disponibili a tutti. Infatti, è sufficiente comprendere il funzionamento e la struttura dell’API per esfiltrare i dati dei milioni di utenti che si sono iscritti.

Un vero e proprio incubo dal punto di vista privacy…

Allo stato attuale, sarebbe fondamentale una profonda svolta da parte dei vertici societari, con l’implementazione di stringenti misure di sicurezza anche per l’API. Testare l’API in produzione è importante non solo per rivelare possibili vulnerabilità ma anche per possibili logic flaw che possono provocare un accesso indiscriminato ai dati degli utenti.

Clubhouse, problemi di privacy per gli utenti per il social network

Una problematica fondamentale - Il modo in cui è stata realizzata l’app di Clubhouse permette a chiunque abbia un token, o attraverso un’API, di inviare una query verso l’intero set di dati pubblico relativo alle informazioni dei profili degli utenti e a quanto pare questo token non ha scadenza.

Il file SQL postato nel forum hacker contiene solo informazioni relative a clubhouse e non contiene alcun dato sensibile come dettagli di carte di credito o documenti d’identità.

Nelle ultime 2 settimane, sono trapelati i dati relativi a 533 milioni di utenti Facebook, mentre erano stati 500 milioni nel caso del data scraping su LinkedIn, che si aggiungono all’ulteriore 1 milione e 300mila utenti di Clubhouse.

E il tratto comune è preoccupante: tutte le piattaforme hanno negato anche solo la mera esistenza del problema. Facebook era stata violata in maniera simile attraverso l’API, secondo uno schema che sta diventando sempre più comune alla luce degli ultimi eventi.

Content scraping - Il content scraping è il primo step di un pattern d’attacco piuttosto comune. Le aziende digitali costruiscono (o integrano) spesso delle API, senza considerare con troppa attenzione il potenziale per un abuso dei dati che esse contengono.

Anche Linkedin, dopo l’incidente, aveva rivelato pubblicamente che la piattaforma non era stata “violata” da un punto di vista tecnico ma che le informazioni erano pubbliche e sono state sottratte attraverso lo scraping.

Swascan stessa, lo scorso 5 aprile 2021, tramite i propri strumenti di Osint Search Engine aveva identificato diversi annunci di vendita relativamente a dati di utenti presenti su LinkedIn.

Nello specifico aveva identificato:

– un post pubblicato in data 03 Aprile 2021 alle ore 12:41 PM relativamente alla vendita di “LinkedIn 1Billion(1000Million) Record”

– un post pubblicato in data 11 Gennaio 2021 alle ore 05:43 AM relativamente alla vendita di ” LinkedIn 550Milioni full profiles, emails, phone- recent data”

Le conseguenze pericolose del Data Scraping - Incidenti di questo tipo non sembrano destinati a interrompersi nei prossimi mesi. Le API sono veicolo di funzionalità e dati. Le aziende che gestiscono piattaforme social, pensano prima di tutto all’utilizzabilità, rendendo disponibili le API per una più rapida implementazione del social da parte di servizi e software esterni.

Gli aggressori lo sanno bene e continuano a mettere nel mirino queste API per offensive a base di data scraping, al fine di riutilizzare i dati, disponibili pubblicamente, per scopi criminali.
La raccolta potenziale dei dati relativi a email e cellulari ci espone al rischio concreto e tangibile di:

- Phishing
- Smishing
- Business Email Compromised
- Spam
- Spoofing
- …

Gli utenti di tutte queste piattaforme social dovrebbero essere consapevoli dei rischi legati a questo data leakage. È consigliabile porre sempre maggiore attenzione a email e comunicazioni sospetto, poiché il rischio di diventare oggetto di una campagna di phishing si innalza dopo eventi di tale portata.

Note sull'Autore

Pierguido Iezzi Pierguido Iezzi

CyberSecurity Director, Digital Innovation Manager, co-fondatore di Swascan

Prev Attacco informatico ai server dell’Agenzia Territoriale per la Casa di Torino, oltre mezzo milione di euro il riscatto chiesto dagli hacker
Next Trafugati progetti industriali dei nuovi MacBook, gli hacker ricattano Apple chiedendo 50 milioni di dollari

Il furto d'identità con l'intelligenza artificiale

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy