Clubhouse, aplikace pro chat, která je určena pouze pro spuštění, je nejnovější platformou pro sociální média, kde můžete vidět obrovské množství uživatelských dat shromážděných a zveřejněných na podzemních fórech. Soubor SQL obsahující osobní údaje 1,3 milionu uživatelů Clubhouse byl zveřejněn na hackerském fóru zdarma.

Jména, uživatelská ID, adresa URL, fotografie, počet sledujících, popis Twitteru a Instagramu, data, kdy byly účty vytvořeny, a dokonce i profilové informace o tom, kdo je do aplikace pozval, patří podle CyberNews mezi informace obsažené v databázi. Klíčové informace, které lze použít proti obětem při phishingu a dalších sociálně vytvořených podvodech.

Clubhouse uvedl, že veřejná data jeho uživatelů nejsou chybou, ale je to způsob, jakým je platforma postavena.

Děravé API trápí sociální média

Podmínky služby Clubhouse zakazují škrábání dat, ale jeho API podle vlastního přiznání je online a není proti němu chráněno.

„Testování API ve výrobě je důležitější než kdy dříve nejen pro zranitelnosti, ale také pro chyby obchodní logiky, které mohou vést k neomezenému přístupu k uživatelským datům,“ uvedl Setu Kulkarni, viceprezident WhiteHat Security.

Kulkani dodal, že tyto platformy se musí přesunout na bezpečnostní strategii založenou na API.

Výzkumník CyberNews Mantas Sasnauskas analyzoval data Clubhouse a uvedl, že chyba ochrany osobních údajů je zabudována do samotné platformy.

“Způsob, jakým je aplikace Clubhouse postavena, umožňuje komukoli s tokenem nebo prostřednictvím API dotazovat se na celý soubor veřejných informací o profilu uživatele Clubhouse a zdá se, že platnost tokenu nevyprší,” řekl Sasnauskas.

Zdroj: threatpost.com

@RadekVyskovsky