Daten von 1,3 Mio. Clubhouse-Benutzern kostenlos in Hacker-Forum veröffentlicht

Cyber Security News

Clubhouse bestreitet, dass es “verletzt” wurde und sagt, dass die Daten da draußen für jeden zugänglich sind.

Clubhouse, die Startup-Chat-App, die nur auf Einladung funktioniert, ist die neueste Social-Media-Plattform, bei der riesige Mengen an Benutzerdaten gesammelt und in Untergrundforen veröffentlicht wurden. Eine SQL-Datei, die die persönlichen Daten von 1,3 Millionen Clubhouse-Benutzern enthält, wurde in einem Hackerforum kostenlos gepostet.

Namen, Benutzer-IDs, Foto-URLs, die Anzahl der Follower, Twitter- und Instagram-Handles, das Datum, an dem die Konten erstellt wurden, und sogar die Profilinformationen derjenigen, die sie in die App eingeladen haben, gehören zu den Informationen, die in der Datenbank enthalten sind, so CyberNews, wodurch Bedrohungsakteure wichtige Informationen erhalten, die gegen die Opfer in Phishing- und anderen Social-Engineering-Betrügereien verwendet werden können.

Für seinen Teil, Clubhouse sagte, dass die Daten seiner Benutzer öffentlich ist kein Fehler, es ist nur, wie die Plattform gebaut ist:

Dies ist irreführend und falsch. Clubhouse wurde nicht angegriffen oder gehackt. Die Daten, auf die Bezug genommen wird, sind alle öffentlichen Profilinformationen aus unserer App, auf die jeder über die App oder unsere API zugreifen kann. https://t.co/I1OfPyc0Bo

– Clubhouse (@joinClubhouse) April 11, 2021

Das Unternehmen gibt keine weiteren Details bekannt und Clubhouse reagierte nicht auf die Anfrage von Threatpost nach weiteren Kommentaren.

Clubhouse-Follower auf Twitter haben schnell bemerkt, dass die Erklärung einen Unterschied ohne jegliche Unterscheidung zu seinen exponierten Benutzern aufzeigt.

“Ich sehe nicht, was falsch ist … “, antwortete Benutzer Benjamin Maynard auf die Clubhouse-Aussage.

Leaky APIs Plagen Social Media

Die Nutzungsbedingungen von Clubhouse verbieten Data Scraping, doch seine API ist nach eigenen Angaben ungeschützt online.

“Clubhouse hat widersprüchliche Benutzerrichtlinien – es ist eine “Invite-Only”-Plattform und gleichzeitig frei zugänglich für Benutzerdaten”, sagte Setu Kulkarni, Vice President bei WhiteHat Security. “Alles, was es braucht, ist ein einziger Benutzer, um die API für einen so großen Datenabfluss der Millionen von Benutzern auf der Plattform herauszufinden.”

Kulkani fügte hinzu, dass diese Plattformen zu einer API-first-Sicherheitsstrategie übergehen müssen.

“Das Testen von APIs in der Produktion ist genauso wichtig, wenn nicht sogar wichtiger denn je, nicht nur im Hinblick auf Schwachstellen, sondern auch auf Fehler in der Geschäftslogik, die zu einem ungehinderten Zugriff auf Benutzerdaten führen können”, sagte er.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/04/12160922/leaked-database-image-300x115.png]

Die Clubhouse-Datenbank. Zum Vergrößern anklicken. Quelle: CyberNews.

Der CyberNews-Forscher Mantas Sasnauskas analysierte die Clubhouse-Daten und sagte, dass der Datenschutzfehler in die Plattform selbst eingebaut ist.

“Die Art und Weise, wie die Clubhouse-App aufgebaut ist, erlaubt es jedem mit einem Token oder über eine API, den gesamten Bestand an öffentlichen Clubhouse-Benutzerprofilinformationen abzufragen, und es scheint, dass das Token nicht abläuft”, sagte Sasnauskas.

Das CyberNews-Team fügte hinzu, dass die SQL-Datei, die im Hacker-Forum gepostet wurde, nur Clubhouse-bezogene Informationen enthält und keine “sensiblen Daten wie Kreditkartendetails oder rechtliche Dokumente.”

Das Problem leugnen

In den vergangenen zwei Wochen wurden die Daten von 533 Millionen Facebook-Nutzern geleakt, bei LinkedIn wurden die Daten von 500 Millionen Menschen abgegriffen und nun hat Clubhouse die Informationen von weiteren 1,3 Millionen Menschen preisgegeben.

Und wie Nicholas Vinocur von Politico Europe feststellte, folgten sie alle einem unheimlich ähnlichen Offenlegungs-Drehbuch: Leugnen, dass es jemals passiert ist.

In den vergangenen zehn Tagen:

Die Daten von 533 Millionen Menschen sind bei Facebook durchgesickert.

500 Millionen Menschen Daten bei LinkedIn geleakt.

1,3 Millionen Daten von Personen bei Clubhouse geleakt.

Alle bestreiten, dass die Daten durchgesickert sind oder dass es irgendein Problem gegeben hat.

– Nicholas Vinocur (@NicholasVinocur) April 12, 2021

Facebook war in ähnlicher Weise über seine API verwundbar, was laut Michael Isbitski von Salt Security gegenüber Threatpost immer häufiger vorkommt.

“Content Scraping ist ein häufiges Angriffsmuster”, sagte Isbitski im Zuge des Facebook-Leaks. “Organisationen bauen oder integrieren oft APIs, ohne die Missbrauchsfälle der APIs vollständig zu berücksichtigen.”

LinkedIn hat nach dem Vorfall ebenfalls ein Statement veröffentlicht, in dem erklärt wird, dass die Plattform nicht technisch “verletzt” wurde, sondern dass die Informationen öffentlich waren und von der LinkedIn-Website abgeschöpft wurden.

Um die Datei mit den LinkedIn-Benutzerdaten im Hackerforum einzusehen, kostet es 2 Dollar an Forumsguthaben. Die komplette Datenbank wurde im vierstelligen Bereich versteigert.

“Wir haben einen angeblichen Satz von LinkedIn-Daten untersucht, der zum Verkauf gepostet wurde, und haben festgestellt, dass es sich tatsächlich um eine Ansammlung von Daten aus einer Reihe von Websites und Unternehmen handelt”, die “öffentlich einsehbare Mitglieder-Profil-Daten enthält, die von LinkedIn abgeschöpft worden zu sein scheinen”, sagte das Unternehmen in einer Erklärung. “Dies war keine LinkedIn-Datenverletzung, und es waren keine privaten Mitgliederdaten von LinkedIn in den Daten enthalten, die wir überprüfen konnten.”

Data Scraping Fallout

“Ich erwarte nicht, dass dies der letzte dieser Art von Scraping-Vorfällen sein wird”, prognostizierte Isbitski. “APIs sind regelmäßig das Vehikel für Funktionalität und Daten. Social-Media-Unternehmen gestalten ihre Plattformen von Natur aus so, dass sie konsumierbar sind, und betreiben vieles davon mit APIs. Angreifer wissen das und zielen bei Scraping-Angriffen weiterhin auf APIs ab, um öffentlich verfügbare Daten für böswillige Zwecke umzuwidmen.”

Nutzer aller drei Social-Media-Plattformen sollten sich bewusst sein, dass sie Ziel von E-Mail-Phishing-Kampagnen sein könnten, daher sind starke Passwörter und Multi-Faktor-Authentifizierung wichtig. CyberNews bietet einen “Data Leak Checker” an, mit dem Benutzer herausfinden können, ob ihre Daten kompromittiert wurden.

Haben Sie sich jemals gefragt, was in Untergrundforen für Cyberkriminalität vor sich geht? Finden Sie es am 21. April um 14 Uhr ET während einer KOSTENLOSEN Veranstaltung von Threatpost heraus: “Underground Markets: A Tour of the Dark Economy”. Experten nehmen Sie mit auf eine Führung durch das Dark Web, einschließlich der Frage, was zum Verkauf steht, wie viel es kostet, wie Hacker zusammenarbeiten und welche neuesten Tools für Hacker verfügbar sind. Registrieren Sie sich hier für die LIVE-Veranstaltung am Mittwoch, 21. April.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/04/12161627/Clubhouse2-e1618258606781.png]

Einige Teile dieses Artikels stammen aus:
threatpost.com