情境示意圖,Photo by Josh Rose on unsplash

CyberNews最近發現,有個內含130萬名Clubhouse用戶的資料庫,在某個駭客論壇上免費流通,這是一個SQL資料庫,存放了Clubhouse用戶的使用者名稱、姓名、帳號建立日期、照片網址、粉絲人數,以及所追蹤的使用者數量等。Clubhouse周日(4/11)即發表了聲明,表示這並非該平臺的安全漏洞,駭客是透過程式或API搜刮用戶的公開資料而來。

這是近來傳出的第三起社交平臺資料外洩事件,從臉書的5.3億筆、LinkedIn的5億筆,以及Clubhouse的130萬筆。定位為語音聊天平臺的Clubhouse現僅支援iOS平臺,在今年1月的用戶數已超過1千萬名,此次外洩的用戶資料約占該平臺的1成。

對於用戶資料在外流通,這三個平臺的口徑一致,都宣稱是駭客自行搜刮公開的用戶資料而來,並非安全漏洞。其中,臉書表示,駭客是在2019年濫用臉書的聯絡人匯入(Contact Importer)功能,打造一模仿臉書的軟體,並上傳大量的電話號碼,以檢視哪些號碼正巧是臉書用戶,進而取得這些用戶的個人檔案資料,且臉書已於同年修補了此一功能,以防止再度遭到駭客濫用。

而不管LinkedIn或Clubhouse都說,駭客是搜刮了網路上的公開用戶資料,無關乎平臺漏洞。

不過,有一用戶在Clubhouse聲明的留言中指出,Clubhouse所指的API是該平臺內部所使用的API,並在上個月曝光,使用該API可能因違反Clubhouse政策而遭到停權,另有用戶表示,這類的意外功能應可稱為安全漏洞,內部API曝光或是沒有加以保護,而允許未經授權的使用者搜刮大量用戶資料,就是一種不安全的作法。


熱門新聞

Advertisement