1.3 millones de datos de usuarios de la casa club descargados de forma gratuita en el foro de hackers - Calendae | Informática, Electrónica, CMS, Ciberseguridad

1.3 millones de datos de usuarios de la casa club descargados de forma gratuita en el foro de hackers

Hola de nuevo. En el teclado Eduardo Arroyo y en esta ocasión hablaremos sobre 1.3 millones de datos de usuarios de la casa club descargados de forma gratuita en el foro de hackers

1.3 millones de datos de usuarios de la casa club descargados de forma gratuita en el foro de hackers

Clubhouse niega que haya sido «pirateado» y afirma que cualquiera puede capturar los datos.

Clubhouse, la aplicación de chat solo por invitación para lanzar, es la plataforma de redes sociales definitiva para ver cantidades masivas de datos de usuarios recopilados y publicados en foros clandestinos. Un archivo SQL que contiene los datos personales de 1,3 millones de usuarios de Clubhouse se publicó de forma gratuita en un foro de piratas informáticos.

Los nombres, ID de usuario, URL de la foto, recuento de seguidores, identificadores de Twitter e Instagram, fechas de creación de las cuentas e incluso la información del perfil de quien los invitó a la aplicación se encuentran entre la información contenida en la base de datos, según CyberNews, que proporciona amenaza actores con información clave que se puede utilizar contra las víctimas de suplantación de identidad y otras estafas de ingeniería social.

Por su parte, Clubhouse dijo que los datos de sus usuarios que son públicos no son un error, es solo la forma en que se construye la plataforma:

Esto es engañoso y falso. La casa club no ha sido pirateada ni pirateada. Los datos a los que se hace referencia son toda la información del perfil público de nuestra aplicación, al que cualquier persona puede acceder a través de la aplicación o nuestra API. https://t.co/I1OfPyc0Bo

– Casa club (@joinClubhouse) 11 de abril de 2021

La compañía no proporciona ningún otro detalle y Clubhouse no respondió a la solicitud de Threatpost de hacer más comentarios.

Los seguidores de Twitter de Clubhouse se apresuraron a notar que la declaración destaca una diferencia sin distinción para sus usuarios expuestos.

«No puedo ver qué es falso …», respondió el usuario Benjamin Maynard. Declaración de la casa club.

Los términos de servicio de Clubhouse prohíben el raspado de datos, pero su API, por su propia admisión, está Online sin protección contra ella.

«Clubhouse tiene políticas de usuario conflictivas, siendo una plataforma solo por invitación y al mismo tiempo datos de usuario gratuitos para todos», dijo Setu Kulkarni, vicepresidente de WhiteHat Security. «Todo lo que se necesita es que un usuario comprenda la API para una salida de datos tan grande de los millones de usuarios de la plataforma».

Kulkani agregó que estas plataformas deben cambiar a una estrategia de seguridad basada en API.

«Probar las API en producción es como si no más importante que nunca, no solo para las vulnerabilidades, sino también para las fallas de la lógica empresarial que pueden resultar en un acceso sin restricciones a los datos del usuario», dijo.

La base de datos de la casa club. Click para agrandar. Fuente: CyberNews.

El investigador de CyberNews, Mantas Sasnauskas, analizó los datos de Clubhouse y dijo que el error de privacidad está integrado en la propia plataforma.

«La forma en que se construye la aplicación Clubhouse permite a cualquier persona con un token, o mediante una API, consultar todo el cuerpo de información pública sobre el perfil de usuario del Clubhouse, y parece que el token no caduca», dijo. Llamado Sasnauskas.

El equipo de CyberNews agregó que el archivo SQL publicado en el foro de piratas informáticos contiene solo información relacionada con Clubhouse y no incluye «datos confidenciales como detalles de tarjetas de crédito o documentos legales».

En las últimas dos semanas, se han filtrado datos de 533 millones de usuarios de Facebook, LinkedIn ha visto datos extraídos de 500 millones de personas y ahora Clubhouse ha entregado información sobre otros 1,3 millones de personas.

Y como señaló Nicholas Vinocur de Politico Europe, todos siguieron un patrón de divulgación inquietantemente similar: negar que alguna vez sucedió.

En los últimos diez días:

Los datos de 533 millones de personas se filtraron a Facebook.

Datos de 500 millones de personas se filtraron en LinkedIn.

Se filtraron datos de 1,3 millones de personas a Clubhouse.

Todos niegan que los datos se filtraron o que hubo algún problema de cualquier tipo.

– Nicholas Vinocur (@NicholasVinocur) 12 de abril de 2021

Facebook era igualmente vulnerable a través de su API, que Michael Isbitski de Salt Security le dijo a Threatpost que se está volviendo más común.

«El raspado de contenido es un patrón de ataque común», dijo Isbitski a raíz de la filtración de Facebook. «Las organizaciones a menudo crean o integran API sin considerar completamente los casos de abuso de API».

LinkedIn también emitió un comunicado a raíz de su incidente, explicando que la plataforma no fue técnicamente «pirateada», pero que la información era pública y extraído del sitio de LinkedIn.

Para ver el archivo de datos de usuario de LinkedIn en el foro de hackers, cuesta $ 2 en créditos del foro. Toda la base de datos se subastó en cuatro cifras.

«Analizamos un presunto conjunto de datos de LinkedIn que se publicó para la venta y determinamos que en realidad se trata de una agregación de datos de varios sitios web y empresas» que incluye «datos de perfil de miembros visibles públicamente. Que parecen haber sido extraídos por LinkedIn ”, Dijo la compañía en un comunicado. «Esto no fue una violación de datos de LinkedIn y no se incluyeron datos de cuentas privadas de LinkedIn en lo que pudimos revisar».

«No espero que este sea el último de estos incidentes de raspado», predijo Isbitski. “Las API son habitualmente el vehículo para la funcionalidad y los datos. Las empresas de redes sociales diseñan inherentemente sus plataformas para que sean consumibles, alimentando gran parte de ellas con API. Los atacantes saben esto y continúan apuntando a las API para eliminar los ataques, reutilizando los datos disponibles públicamente con fines maliciosos «.

Los usuarios de estas tres plataformas de redes sociales deben ser conscientes de que podrían ser blanco de campañas de phishing por correo electrónico, por lo que las contraseñas seguras y la autenticación multifactor son importantes. CyberNews ofrece un archivo control de fugas de datos personales para ayudar a los usuarios a comprender si sus datos se han visto comprometidos.

.

Puedes compartir en una historia de tu Instagram para que tus colegas lo flipen

??? ? ? ???

Comparte