Clubhouse: Hacking Angriff auf die Hype-App?

Copyright © Shutterstock /Elizaveta Galitckaia

Es wurde ein Datenleck von den Clubhouse Mitgliederinformationen gemeldet. Die Informationen bestehen aus öffentlich zugänglichen Daten und nicht aus sensiblen Informationen wie Passwörtern. Das Leck kann anscheinend tatsächlich nur ein Auszug aus öffentlich verfügbaren Informationen sein.

Wurden vertrauliche Informationen von Clubhouse veröffentlicht?

Das sogenannte Datenleck scheint keine vertraulichen Informationen zu enthalten. Alle Informationen scheinen öffentlich verfügbare Daten zu sein für das man keinen Hack brauchen würde, um sie zu erhalten.

Dies ist die Liste der Art von (öffentlich zugänglichen) Daten, die laut Cybernews durchgesickert sind:

• User ID
• Name
• Foto URL
• Benutzername
• Twitter Name
• Instagram Name
• Anzahl an Followern
• Anzahl der Personen, denen der User folgt
• Account Erstellungsdatum
• Name des Users der die Person zu Clubhouse eingeladen hat

Möglicherweise kein Datenleck von Clubhouse

Die Sicherheitsforscherin und Technologie-Bloggerin Jane Manchun Wong (@wongmjane) stellte infrage, ob es sich überhaupt um ein Leck handelt. Sie meinte, dass es einem einfachen automatisierten Download von öffentlichen Informationen gleicht.

Jane twitterte, dass es sich bei dem Clubhouse Leck anscheinend um einen Data Scrape von öffentlich verfügbaren Informationen handelt.

Data Scrape statt Datenleck

Ein Scrape ist, wenn eine Software in der Lage ist, öffentliche Informationen von einer Website herunterzuladen, wie z. B. Mitgliederinformationen oder auch nur den Inhalt. Es ist wie ein automatisierter Browser, der öffentliche Informationen herunterlädt.

In diesem Fall war der Scraper in der Lage, öffentliche Benutzerinformationen nacheinander herunterzuladen. Was dieses Scraping möglich machte, war offenbar, dass Clubhouse Benutzerinformationen in numerischer Reihenfolge erstellt und gespeichert wurde.

So beschreibt es Jane in einem Tweet:

“Not seeing any private info in this “leaked data” of Clubhouse

The user IDs are numerical. So it just seems like someone scraped the data by hitting Clubhouse’s private API, iterating from user ID 1 to beyond”

Ein Datenleck besteht aus privaten und sensiblen Daten, nicht aus öffentlichen Daten, die für jeden zugänglich sind.

Sie folgte mit diesem Tweet:

“Data of 1 Clubhouse profile, including name, social media handles, profile picture, followers/following count, and more, apparently posted on Twitter.

The source of this leak told me this is done by opening Clubhouse app, viewing the profile of the victim, and taking a screenshot”

Twitter-Mitglieder, die Janes Diskussion verfolgten, twitterten satirische Antworten, die zeigten, wie wenig beeindruckt sie von dem sogenannten “Hack” der öffentlich zugänglichen Inhalte waren:

Not seeing any private info in this “leaked data” of Clubhouse

The user IDs are numerical. So it just seems like someone scraped the data by hitting Clubhouse’s private API, iterating from user ID 1 to beyond https://t.co/MBWG46JmCB

— Jane Manchun Wong (@wongmjane) April 11, 2021

Warum es sich möglicherweise nicht um ein Datenleck von Clubhouse handelt

Keine der Informationen ist privat oder sensibel. Alle Informationen sind öffentlich zugänglich. Die Methode, die verwendet wurde, um die Informationen zu erhalten, scheint nicht auf eine Sicherheitslücke zurückzuführen. Laut der Sicherheitsforscherin Jane Manchun Wong scheint es sich um einen relativ einfachen Download von öffentlich verfügbaren Informationen zu handeln.

Was halten Sie davon? Denken Sie, dass es sich hierbei tatsächlich um einen Datenleck handelt oder nicht? Teilen Sie uns das in den Kommentaren mit!

Quelle: Search Engine Journal