Clubhouse、130万人分のユーザー情報が流出
(cybernews.com)- ユーザー情報を含むSQLファイルが公開
→ パスワードやメールアカウントなどの機密情報は含まれていない
→ User ID、名前、Photo URL、Username、Twitter/Instagram ID、フォロワー数、フォロー数、アカウント作成日、招待した人
- Clubhouse側は、ハッキングされたのではなく、APIを通じてアクセス可能な公開情報だと公式に回答
- しかし、おそらくソーシャルエンジニアリング攻撃などに利用される可能性があるため注意が必要
2件のコメント
🤦♀️
https://news.ycombinator.com/item?id=26768299
この問題について2月にClubhouseへ報告したユーザーは、何の返答も受けられなかったとのこと。
MITMで特定したトークンさえあれば、公開されている全ユーザープロフィールを無制限にクエリできる
検索結果数の制限やRate Limitingだけでも実施すれば防げるのに、まったく行っていないようだ