Filtran datos de 1.3 millones de cuentas de Clubhouse

Hasta ahora, parece que ha sido la peor semana del año para las plataformas de redes sociales en términos de filtraciones de datos. Ahora, Clubhouse aparentemente se unió a la “fiesta”.

Días después de que los datos extraídos de más de mil millones de perfiles de Facebook y LinkedIn, en conjunto, se pusieran a la venta en línea, parece que ahora es el turno de Clubhouse. La plataforma advenediza parece haber experimentado el mismo destino. En un foro de hackers se ha filtrado de forma gratuita una base de datos que contiene 1.3 millones de registros de usuarios de Clubhouse

¿Qué se filtró?

La base de datos filtrada contiene una variedad de información relacionada con perfiles de usuarios de Clubhouse. Entre la información filtrada podemos encontrar:

• ID de usuario
• Nombre
• URL de la foto
• Nombre de usuario
• Usuario de Twitter
• Usuario de Instagram
• Número de seguidores
• Número de personas seguidas por el usuario
• Fecha de creación de la cuenta
• Etc.

Ejemplo de datos filtrados:

La API de Clubhouse permite “scrapear” datos

Clubhouse emitió una declaración sobre el incidente en las redes sociales, diciendo que no han experimentado una infracción de sus sistemas. La compañía dijo que los datos ya están disponibles públicamente y que “cualquiera” puede acceder a ellos a través de su API.

This is misleading and false. Clubhouse has not been breached or hacked. The data referred to is all public profile information from our app, which anyone can access via the app or our API. https://t.co/I1OfPyc0Bo

— Clubhouse (@joinClubhouse) April 11, 2021

La declaración de la compañía en Twitter provocó un acalorado debate. Esto plantea algunas preguntas sobre la postura de privacidad de la compañía. Permitir que todos recopilen y descarguen incluso información de un perfil público a gran escala puede tener graves consecuencias negativas para la privacidad del usuario.

Según el investigador senior de seguridad, Mantas Sasnauskas, el registro de datos de usuario de Clubhouse extraídos revela un posible problema de privacidad. “La forma en que se compila la aplicación Clubhouse permite a cualquiera con un token, o a través de una API acceder a mucha información. Es posible consultar toda la información pública del perfil de usuario de Clubhouse. Lo más preocupante es que parece que el token no caduca”.

Sasnauskas argumenta que, aunque la política de privacidad de Clubhouse no permite el scraping y la minería de datos, la plataforma de ser más específica. “Esto no solo debería reflejarse en los términos, sino también en la implementación técnica de la aplicación. Esto dificultaría que cualquiera pueda extraer los datos del usuario. No tener medidas anti-scraping puede verse como un problema de privacidad”.

¿Cuál es el impacto de la filtración?

Los actores de amenazas pueden utilizar los datos de los archivos filtrados contra los usuarios de Clubhouse para diferentes propósitos. Por ejemplo, para la suplantación de identidad dirigida u otros tipos de ataques de ingeniería social.

La base de datos SQL publicada en el foro de ciberdelincuentes solo contiene información de los perfiles de Clubhouse. No encontramos ningún dato sumamente sensible como detalles de tarjetas de crédito o documentos legales en el archivo publicado por el actor de la amenaza. Dicho esto, incluso un nombre de perfil, con conexiones a otros perfiles de redes sociales, puede ser suficiente para que un ciberdelincuente competente cause un daño real.

Los atacantes particularmente determinados pueden combinar la información que se encuentra en la base de datos SQL filtrada con otras violaciones de datos. Esto para crear perfiles detallados de sus víctimas potenciales. Con dicha información en la mano, pueden organizar ataques de phishing e ingeniería social mucho más convincentes. Incluso pueden cometer robo de identidad contra las personas cuya información ha sido expuesta en el foro de ciberdelincuentes.

¿Qué hacer?

Si sospechas que los datos de tu perfil de Clubhouse podrían haber sido filtrados por ciberdelincuentes, te recomendamos:

• Tener cuidado con los mensajes sospechosos de Clubhouse y las solicitudes de conexión de extraños.
• Considerar utilizar un administrador de contraseñas para crear contraseñas seguras y almacenarlas de forma segura.
• Habilitar la autenticación de dos factores (2FA) en todas tus cuentas en línea.

Además, ten cuidado con los posibles correos electrónicos y mensajes de texto de phishing. Nuevamente, no hagas clic en nada sospechoso ni respondas a nadie que no conozcas.

La investigación de la filtración de datos de Clubhouse está en curso y actualizaremos el artículo a medida que se desarrolle.

Mientras tanto, debes considerar usar nuestro verificador de leaks para averiguar si alguna de tus cuentas en línea se ha filtrado en infracciones anteriores.