Gegevens van 1,3 miljoen Clubhouse-gebruikers verschijnen online

Gegevens van 1,3 miljoen Clubhouse-gebruikers verschijnen online

Een database met gegevens van 1,3 miljoen Clubhouse-gebruikers is verschenen op een hackerforum. Het gaat volgens Clubhouse echter niet om een hack, de gegevens waren altijd al publiekelijk toegankelijk via een API.

De gedeelde gegevens bestaan uit het gebruikers-id, de naam, de url van de profielfoto, de gebruikersnaam, de Twitter-naam, de Instagram-naam, het aantal volgers, het aantal mensen dat de gebruiker volgt, de aanmaakdatum van de account en de mensen die de gebruiker heeft uitgenodigd, vermeldt Cybernews.

Gegevens via API verzameld

Clubhouse zegt zelf op Twitter dat de ophef rond het lek overtrokken is. Al deze gegevens waren immers publieke informatie die iedereen kon vinden via de app of API van het bedrijf.

https://twitter.com/joinClubhouse/status/1381066324105854977

Toch kan het op zijn minst opvallend genoemd worden dat er zo eenvoudig een volledige database aan gebruikers kan worden opgebouwd. Het gebruik van oplopende gebruikers-id’s en het klaarblijkelijke gebrek aan een rate limiter maakte dit blijkbaar erg eenvoudig voor de aanvaller. Bovendien is het mogelijk dat het publiekelijk beschikbaar maken van deze gegevens al genoeg is om de GDPR te overtreden.

Geen kritieke gegevens uitgelekt

In de praktijk kunnen kwaadwillenden echter niet bijster veel met de gedeelde gegevens. Gevoelige gegevens als e-mailadressen, telefoonnummers, wachtwoorden en creditcardgegevens zijn niet uitgelekt, wat de bruikbaarheid van de gegevens tegengaat. Het is nu echter wel mogelijk om in één oogopslag de identiteit van alle Clubhouse-gebruikers uit te vinden. Deze informatie kan gebruikt worden voor doelgerichte phishingaanvallen.

Vergelijkbare situaties bij Facebook en LinkedIn

Toch wordt deze situatie overschaduwd door de twee enorme datalekken die in de afgelopen weken plaatsvonden. Bij zowel Facebook als LinkedIn zijn gegevens van ruim een half miljard gebruikers op straat beland. Bij Facebook ging het voornamelijk op telefoonnummers, maar bij LinkedIn zijn er ook e-mailadressen buitgemaakt. Opvallend genoeg ging het bij zowel Facebook als LinkedIn net als bij Clubhouse niet om een direct datalek, maar was er een scraper gebruikt om publieke informatie te verzamelen.