Segundo o site Cybernews, os dados de 1,3 milhão de usuários do Clubhouse, rede social baseada em áudio exclusiva para o iOS, estão expostos em um banco de dados SQL livremente disponível na internet.

O banco de dados não expõe informações como números de telefone, endereços de e-mail ou dados financeiros, mas inclui ID do usuário, nome, URL da imagem de perfil, conta no Twitter, conta no Instagram, número de seguidores, número de pessoas que o usuário segue, data de criação da conta e nome do perfil de onde partiu o convite para a rede.

publicidade

Em sua conta no Twitter, a rede social nega que tenha sido invadida ou hackeada. Segundo o tuíte, os dados são “informações públicas de cada perfil”, que podem ser obtidas usando a API (interface de programação) do serviço.

https://twitter.com/joinClubhouse/status/1381066324105854977?s=20

Segundo Mantas Sasnauskas, pesquisador sênior de segurança da CyberNews, “a forma como o app Clubhouse é construído permite que qualquer um com um token, ou através de uma API, pesquise todo o conjunto público de informações dos perfis dos usuários, e parece que esse token nunca expira”.

publicidade

Os termos de serviço do Clubshouse proíbem a coleta automatizada de dados (prática conhecida como “scraping”), mas Sasnauskas afirma que isso deveria ir além de uma simples “regra”.

Amostra dos dados do Clubhouse vazados.
Amostra dos dados do Clubhouse vazados. Imagem: Cybernews

Mesmo que sejam dados “públicos”, permitir que qualquer um colete informações em grande escala pode ter sérias consequências negativas para a privacidade dos membros.

publicidade

Cruzando informações (como o perfil no Clubhouse com o do Twitter ou Instagram) malfeitores podem facilmente ampliar seu conjunto de informações sobre uma pessoa, coletando dados suficientes para executar golpes de phishing ou mesmo roubo de identidade.

Leia mais:

publicidade

O Cybernews recomenda que usuários do Clubhouse tenham atenção redobrada com mensagens supostamente vindas do site ou pedidos de amizade de desconhecidos, além de tentativas de phishing por e-mail ou mensagens de texto. “Não clique em nada suspeito, nem responda a quem não conhece”.

Fonte: Cybernews