音声SNSアプリ「Clubhouse(クラブハウス)」の130万人分のユーザ・データがハッカー向けフォーラムに公開される=クラブハウス側はハッキング被害を否定
話題の音声SNSアプリ「Clubhouse(クラブハウス)」、その130万人分のユーザの個人情報を含むSQLデータベースがハッカー向けネット・フォーラムに漏洩したと、CyberNewsが4月10日(土曜)に報じた。
Clubhouseは、驚愕の40億ドルという自社評価額をベースに、追加出資を募る協議を行っていると今月初めに報じられている。
Clubhouseの130万人分のユーザ個人情報を含むSQLデータベースが投稿されたハッカーフォーラムの画像:
(Screenshot via CyberNews)
新興SNSアプリであるClubhouseもまた、フェースブックやリンクドインと同様の運命を辿り、サーバからユーザ・データが盗まれ人気のハッカーフォーラムに公開されたようだとCyberNewsは報じた:
特に決意の固い攻撃者は、今回流出したSQLデータベースに含まれる情報と他のデータ漏洩事件の情報を組み合わせて、潜在的な被害者の詳細なプロフィールを作成することができる。このような情報があれば、より成功率の高いフィッシング攻撃やソーシャルエンジニアリング攻撃を仕掛けたり、ハッカーフォーラムで情報が公開された人から更なる個人情報を盗むことが可能になる。
漏洩したデータベースには、ユーザID、名前、写真のURL、ユーザ名、ツイッターのハンドル名、インスタグラムのハンドル名、その他の個人情報が含まれている。
ハッカーフォーラム上で公開されたデータの一部:
(Screenshot via CyberNews)
しかしこの報道に対して、当のClubhouseは以下の反論を行っている:
This is misleading and false. Clubhouse has not been breached or hacked. The data referred to is all public profile information from our app, which anyone can access via the app or our API. https://t.co/I1OfPyc0Bo
— Clubhouse (@joinClubhouse) April 11, 2021
【訳】これ(この報道)は誤解を招く恐れがあり、誤りだ。Clubhouseは外部からの侵入もハッキングも受けていない。ここで言及されているデータは全て、当社のアプリから公開されているプロフィール情報であり、誰もがアプリやAPIを介してアクセスすることができる。
この反論に対して、CyberNewsは以下のように記事を更新している:
Clubhouseは、外部から彼らのシステムへ侵入があったわけではないと回答している。また、これらデータはすでに公開されており、APIを介してアクセスすることができると述べている。しかしこのことは、公開されているプロフィール情報であっても、誰でもそれを大規模に収集することができるという同社のプライバシー保護の姿勢に疑問を投げかける。私たちは、フォローアップとして同社のAPIポリシーに関するいくつかの質問を送信している。追加情報が得られ次第、更新する。
(太字強調はBonaFidr)
今回ネット・フォーラムで公開された個人情報には、クレジットカードのような気密性の高いデータは含まれていない。しかしCyberNewsが指摘するように、こうした個人情報はフィッシング攻撃やブルートフォース攻撃(総当たり攻撃)にも利用される可能性があり、パスワードが解読されることにつながる。
一方、先週、プロフェッショナル向けSNSサービスのリンクドイン(LinkedIn)から約5億人分のユーザ・プロフィール情報が収集され、複数のハッカー向けサイトで販売されていると報じられている。(CyberNewsは、ユーザが自身のeメールまたは電話番号がこの情報漏洩に含まれているかを調べることができるサイトを提供している。)
また今月初めにはフェースブックから5億3300万人分のユーザ・データがハッカー向けフォーラムにリークされたと報じられている。
BonaFidrをフォロー