Clubhouse: dados de 1,3 milhão de usuários vazam
(cybernews.com)- Um arquivo SQL contendo informações de usuários foi divulgado publicamente
→ Não inclui informações sensíveis como senhas ou contas de e-mail
→ User ID, nome, URL da foto, username, IDs do Twitter/Instagram, número de seguidores, número de seguidos, data de criação da conta, pessoa que convidou
- A Clubhouse respondeu oficialmente que não foi hackeada e que se tratam de informações públicas acessíveis via API
- No entanto, provavelmente isso pode ser usado em ataques de engenharia social, então é recomendável ter cuidado
2 comentários
🤦♀️
https://news.ycombinator.com/item?id=26768299
Dizem que um usuário que reportou esse problema ao Clubhouse em fevereiro não recebeu nenhuma resposta.
Se tiver apenas o token obtido via MITM, é possível consultar ilimitadamente todo o perfil público dos usuários
Daria para bloquear isso ao menos limitando a quantidade de resultados de busca e aplicando rate limiting, mas aparentemente não estão fazendo nada disso