Clubhouse продолжает оставаться в заголовках новостей по всему миру еще неделю, но на этот раз с некоторыми неоднозначными новостями. Личные данные 1,3 миллиона пользователей социальной сети, основанной на аудио, были опубликованы на популярном хакерском форуме, но компания не согласна с тем, что это была утечка.
Как сообщает CyberNews, на прошлой неделе кто-то разместил базу данных с данными 1,3 миллиона пользователей Clubhouse. Эта база данных включает такую информацию, как идентификатор пользователя, имя, фото, профили в социальных сетях и другие данные профиля.
Сразу же генеральный директор Clubhouse Пол Дэвисон заявил, что статьи о раскрытых данных были «вводящими в заблуждение и ложными», поскольку он утверждает, что все эти данные являются общедоступными для пользователей Clubhouse (через The Verge). После этого официальный Профиль клуба в Twitter поделился утверждением, подтверждающим, что открытые данные базы данных могут быть получены любым разработчиком через API приложения.
Это заблуждение и ложь. Клуб не был взломан или взломан. Упомянутые данные — это вся общедоступная информация профиля из нашего приложения, к которой любой может получить доступ через приложение или наш API.
Тем не менее, это вызвало обеспокоенность по поводу конфиденциальности приложения. Поскольку конфиденциальность пользовательских данных становится все более важной с каждым днем, тот факт, что любой может загрузить базу данных со списком всех пользователей из социальной сети, является, мягко говоря, сомнительным.
Исследователь безопасности CyberNews Мантас Саснаускас утверждает, что Clubhouse следует переосмыслить принцип работы своего API, чтобы ограничить объем данных, которые разработчики могут получить через него. Хотя открытая база данных включает только общедоступную информацию, это может привести к «атакам фишинга и социальной инженерии».
То, как создано приложение Clubhouse, позволяет любому, у кого есть токен или через API, запрашивать всю информацию о публичном профиле пользователя Clubhouse, и кажется, что срок действия токена не истекает. Это должно быть отражено не только в ToS, но и в технической реализации приложения, что усложняет очистку пользовательских данных. Отсутствие мер по предотвращению соскабливания может рассматриваться как проблема конфиденциальности.
Особо решительные злоумышленники могут объединить информацию, найденную в утечке базы данных SQL, с другими утечками данных, чтобы создать подробные профили своих потенциальных жертв. Имея такую информацию, они могут организовать гораздо более убедительные фишинговые атаки и атаки социальной инженерии или даже совершить кражу личных данных против людей, информация которых была раскрыта на хакерском форуме.
На прошлой неделе сообщалось, что Twitter рассматривал возможность приобретения Clubhouse за 4 миллиарда долларов, но позже обсуждения были приостановлены. Теперь Clubhouse ищет других инвесторов, в то время как конкуренция растет с такими компаниями, как Facebook и Twitter, которые работают над собственными платформами для живого звука.
Читать далее:
