Tecnologia

Clubhouse, giallo sui dati trapelati online: la piattaforma non è stata violata, ma c’è comunque un rischio

Un database con dati di 1,3 milioni di utenti di Clubhouse è emerso in Rete. I dati non sarebbero particolarmente compromettenti, ma secondo gli esperti sarebbero sufficienti per un utilizzo criminale da aprte di eventuali malintenzionati.

Sembra che le piattaforme di social media stiano nei giorni scorsi sul Web si è diffusa la notizia di un’importante fuga di dati ai danni di Clubhouse, il social basato interamente sulla voce, assurto ultimamente alla fama. stando infatti al sito Cyber News, che per primo ha riportato la notizia, un database SQL contenente 1,3 milioni di dati utente sarebbe trapelato gratuitamente su un popolare forum di hacker.

Il database trapelato conterrebbe una varietà di informazioni relative agli utenti dai profili Clubhouse, tra cui ID utente, URL foto, nome utente, handle di Twitter e Instagram, numero di follower, numero di persone seguite dall’utente, data di creazione dell’account e nome del profilo utente da cui si è stati invitati. I dati dai file trapelati potrebbero essere utilizzati da eventuali malintenzionati contro gli utenti clubhouse in diversi modi da, dal phishing mirato o altri tipi di attacchi di social engineering, che mirano cioè a farsi consegnare “spontaneamente” dall’utente i propri dati sensibili tramite tecniche di manipolazione e inganno, fino ai tentativi di semplice forzatura delle password dei profili Clubhouse.

A fare chiarezza sull’accaduto ci ha pensato la stessa Clubhouse che, per bocca del suo amministratore delegato, Paul Davidson, ha chiarito come il database trapelato non contenga che le semplici informazioni già reperibili nei profili pubblici, mentre sono assenti dati come ad esempio numeri di conto o carte di credito. Insomma, tecnicamente non c’è stata alcuna violazione della piattaforma Clubhouse, ma come abbiamo visto come anche un nome di profilo con connessioni agli altri profili di social media dell’utente identificati e stabiliti, può essere sufficiente per un criminale informatico competente per causare danni reali.

Gli aggressori particolarmente determinati potrebbero infatti combinare le informazioni trovate nel database SQL trapelato con altre violazioni dei dati, al fine di creare profili dettagliati delle loro potenziali vittime e, con tali informazioni in mano, potrebbero attuare attacchi di phishing e social engineering molto più convincenti o persino commettere furti di identità contro le persone le cui informazioni sono state esposte sul forum degli hacker.