«Ложь и кликбейт»: в Clubhouse отрицают взлом платформы

Эксперты оценили опасность утечки данных пользователей Clubhouse

Depositphotos
Руководство Clubhouse объяснило, что попавшие в сеть пользовательские данные, которые были представлены в ряде СМИ как «утечка», всегда находились в открытом доступе и являются публичными. Эксперты рассказали «Газете.Ru», что пользователи платформы не подвергались взлому — речь идет о автоматизированном сборе публичных данных. Однако даже такая безобидная вещь может доставить немало проблем.

Генеральный директор Clubhouse Пол Дэвисон заявил, что информация об утечке пользовательских данных в сеть была растиражирована СМИ ради кликбейта, сообщает портал The Verge.

На прошлой недели в Cyber News опубликовали материал о том, что Clubhouse был взломан, и данные более 1 млн пользователей платформы утекли в сеть, а именно их ID, имя пользователей в Twitter и Instagram, а также количество подписчиков. Вся эта информация была опубликована на хакерском форуме.

«Эта статья вводит всех в заблуждение. Это обычный кликбейт, нас никто не взламывал. Все упомянутые данные являются публичными и находятся в открытом доступе», — заявил Дэвисон порталу.

Руководитель группы развития бизнеса Центра продуктов Solar Dozor компании «Ростелеком-Солар» Алексей Кубарев рассказал «Газете.Ru», что в данном случае речь действительно идет не о взломе, а об автоматизированном сборе публичных данных.

«Если бы случился взлом инфосистем Clubhouse, то вместе с публичными данными в базу попал бы такой ценный для злоумышленника информационный актив, как телефонные номера. Поскольку в размещенной базе их нет, можно предположить, что взлома не было, а представленная база данных — результат парсинга социальной сети», — объяснил Кубарев.

При этом данные действия нельзя считать преступными — публикуя информацию в открытом доступе в сети, пользователь фактически дает свое согласие на размещение данной информации в иных открытых интернет-источниках. Однако автоматизированный сбор данных может навредить пользователям.

«Особенно если в публичном доступе о них находятся такие данные, как ФИО, номер телефона или email, в размещении которых, как может показаться, нет никакой угрозы. Сопоставив данные из базы данных пользователей Clubhouse с утекшими базами, злоумышленники могут создать более точный портрет пользователей и разработать механику атаки на них. Сценарий атаки будет зависеть от тех срезов данных, которые известны о пользователях и которые можно использовать для достижения результата в мошеннических целях», — предостерег эксперт.

Директор департамента информационной безопасности компании Oberon Евгений Суханов отметил, что закрытая политика Clubhouse не предполагает того, что данные пользователей хранились в открытых источниках.

«При этом централизованный сбор и продажа такой базы впоследствии могут подвергнуть их рискам, связанным с мошенничеством, рекламой. Покупателями базы данных могут выступать мошенники и спамеры, так как за небольшую стоимость они получают скоррелированные данные. Для пользователей риск минимален. Однако новый вектор атаки, связанный с социальной инженерией и вымогательством о восстановлении доступа к Clubhouse, имеет место быть», — считает Суханов.

Если утечка представляет из себя просто собранные воедино открытые профили пользователей, то это не представляет особой угрозы, хотя в некоторых случаях может дать в руки злоумышленникам, изучающим социальные связи, недостающие «кусочки пазла», отметил технический директор iD EAST Денис Хоружий.

По его словам, даже незначительная открытая информация, собранная воедино, может давать очень серьезные результаты.

«Поэтому лишний источник информации с социальными связям — это довольно много, если брать во внимание, что всего таких источников обычно не очень много: Facebook, VK, «Одноклассники», Instagram, Twitter, Tiktok, YouTube. Но, если собрать информацию воедино, вполне можно совершать противоправные действия с использованием социальной инженерии», — рассказал Хоружий.

ИБ-евангелист компании Avast Луис Корронс порекомендовал пользователям быть осторожными со всей информацией, которая публикуется в сети, поскольку, как только она там появится, любой сможет ее просмотреть и использовать.

«Как пользователи, мы всегда должны быть осторожны, чтобы не передавать слишком много личной информации. Дьявол кроется в деталях, а личные метаданные могут использовать киберпреступники – и нанести серьезный ущерб. Чем больше информации о человеке есть у хакеров и киберпреступников, тем более полный и точный профиль пользователя они смогут создать. В дальнейшем они могут использовать его для целевых атак на конкретного человека», — заключил эксперт.