E' in vendita su un popolare forum per hacker un database che conterrebbe 3,8 miliardi di dati di utenti. Secondo il sito Cybernews, il database sarebbe formato dai dati degli utenti iscritti a Clubhouse, precedentemente violati, e da quelli dei loro contatti in rubrica; ma anche dai dati dei profili Facebook associati all'account Clubhouse e probabilmente da quelli provenienti da un furto su Facebook già noto e risalente ad aprile. Queste violazioni sono avvenute con la tecnica dello 'scraping', cioè i dati sono stati esfiltrati grazie ad un software. La richiesta per il database con nomi e numeri di telefono è di 100mila dollari.
Il database includerebbe dati personali come nomi e numeri di telefono; tra le informazioni sensibili anche la posizione dell’utente basata sui suffissi dei numeri di telefono e contatti Facebook, utili per ricostruire, eventualmente, un potenziale network da attaccare. Secondo gli esperti, colpisce l'ampiezza del database e il mix di informazioni con i profili Facebook. I furti dai dati di queste entità spesso danno il via a massicce campagne di phishing.
"Non c'è stata alcuna violazione di Clubhouse - spiega la piattaforma - Ci sono una serie di bot che generano miliardi di numeri di telefono casuali. La privacy e la sicurezza sono della massima importanza e continuiamo a investire in pratiche di sicurezza leader del settore".
La vendita online del database 3,8 miliardi di dati risale ai primi di settembre ed è il frutto di due furti già noti subiti da Clubhouse ad aprile e a luglio scorso con la tecnica dello 'scraping'. Con lo stesso metodo, sempre lo scorso aprile anche Facebook è stata colpita in 533 milioni di profili. “Le persone tendono a condividere troppe informazioni sui social media - spiega Mantas Sasnauskas, ricercatore del sito Cybernews - questo fornisce tante superfici di attacco per portare a termine le truffe di malintenzionati".
Clubhouse che ha avuto un picco di popolarità la scorsa primavera grazie alla pandemia, ha all'incirca 13 milioni di utenti in tutto il mondo. A febbraio il Garante Privacy italiano ha fatto richiesta formale alla piattaforma di conoscere tutti i dettagli in merito al trattamento dei dati personali degli utenti, compreso quello relativo alla condivisione di informazioni della rubrica o di altre app effettuata all’interno di Clubhouse e anche la raccolta di dati da queste ulteriori app e social.