Προσωπικά δεδομένα εκατομμυρίων χρηστών του Clubhouse έχουν διαρρεύσει σε ένα δημοφιλές φόρουμ χάκερ στο διαδίκτυο σύμφωνα με δημοσίευμα του Business Insider και πληροφορίες που μεταδίδει το cybernews.com
Η εφαρμογή κοινωνικής δικτύωσης Clubhouse, στην οποία η είσοδος είναι εφικτή μόνο κατόπιν πρόσκλησης από ήδη εγγεγραμμένο χρήστη, κυκλοφόρησε τον Μάρτιο του 2020 και εξελίχθηκε σύντομα σε δημοφιλή πλατφόρμα. Η κοινότητα ήχου της επιτρέπει στους χρήστες να συντονίζονται σε συνομιλίες ή «αίθουσες»για διάφορα θέματα. Σύμφωνα με πληροφορίες, η εταιρεία βρίσκεται σε συνομιλίες για έναν γύρο χρηματοδότησης που ανέρχεται στα 4 δισεκατομμύρια δολάρια.
Σημειώνεται ότι πρόκειται για την τρίτη πλατφόρμα κοινωνικής δικτύωσης από την οποία διαρρέουν προσωπικά δεδομένα μέσα σε μόλις μία εβδομάδα, με το Facebook και το LinkedIn να έχουν προηγηθεί τις προηγούμενες ημέρες. Αυτή τη φορά η διαρροή αφορά σε μία βάση δεδομένων SQL στην οποία περιλαμβάνονται 1,3 εκατομμύρια διαγεγραμμένα αρχεία χρηστών του Clubhouse και πλέον διατίθενται δωρεάν σε ένα δημοφιλές φόρουμ.
Στα αρχεία που διέρρευσαν περιλαμβάνονται ευαίσθητα προσωπικά δεδομένα των εγγεγραμμένων στην εφαρμογή, όπως:
- Όνομα χρήστη
- Ταυτότητα χρήστη (User ID)
- URL φωτογραφίας προφίλ
- Σύνδεση με προφίλ στο Twitter
- Σύνδεση με προφίλ στο Instagram
- Αριθμός ακολούθων του χρήστη
- Αριθμός ατόμων που ακολουθεί ο χρήστης
- Ημερομηνία δημιουργίας του λογαριασμού
- Το όνομα του χρήστη και το προφίλ από το οποίο έγινε η πρόσκληση στην εφαρμογή.
Παρόλο που στη διαρροή δεν έχουν εντοπιστεί έως τώρα ζωτικής σημασίας δεδομένα, όπως στοιχεία πιστωτικής κάρτας ή νομικά έγγραφα, η δωρεάν διάθεση των αρχείων των χρηστών στη βάση δεδομένων SQL εγκυμονεί ιδιαίτερα αυξημένους κινδύνους. Όπως σημειώνει το cybernews, ακόμη και ένα όνομα χρήστη σε κάποιο προφίλ, το οποίο είναι συνδεδεμένο και με άλλες πλατφόρμες κοινωνικής δικτύωσης, ενδεχομένως είναι αρκετό για κάποιον που επιδιώκει να προκαλέσει βλάβη. Η διαρροή των δεδομένων καθιστά τους χρήστες ευάλωτους στο στοχευμένο ηλεκτρονικό ψάρεμα (phishing) ή σε άλλους τύπους επιθέσεων κοινωνικής μηχανικής, καθώς είναι πιθανό οι πληροφορίες που διατίθενται στη βάση δεδομένων να συνδυαστούν από επιτήδειους με άλλες διαρροές προκειμένου να δημιουργήσουν λεπτομερή προφίλ των πιθανών θυμάτων τους. Με τις πληροφορίες αυτές μπορούν να χρησιμοποιήσουν τα προσωπικά στοιχεία των θυμάτων της διαρροής για να τους υποδυθούν ή να τους εξαπατήσουν, προκειμένου να τους αποσπάσουν κωδικούς πρόσβασης.
Σε περίπτωση που υπάρχουν υποψίες ότι τα δεδομένα από κάποια πλατφόρμα κοινωνικής δικτύωσης έχουν διαρρεύσει, συνιστάται η χρήση του ελεγκτή διαρροής προσωπικών δεδομένων, και στη συνέχεια η αλλαγή του κωδικού πρόσβασης στον εν λόγω λογαριασμό. Ενδείκνυται, επίσης, η χρήση του διαχειριστή κωδικών πρόσβασης, για τη δημιουργία ισχυρὠν κωδικών πρόσβασης, καθώς και η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων (2FA) σε όλους τους λογαριασμούς στο διαδίκτυο.
