A klubház „szivárgása” lehet egy egyszerű adatkaparás

Jelentést tettek a Klubház tagjainak adatainak kiszivárgásáról. Az információ nyilvánosan elérhető adatokból áll, és nem tartalmaz érzékeny információkat, például jelszavakat. Az úgynevezett szivárgás valójában csak a nyilvánosan elérhető információk kaparása lehet.

Adatszivárgás

Az adatszivárgást általában olyan jogsértésnek nevezik, amely privát, bizalmas és érzékeny információkat tár fel. Az adatszivárgás általában egy rejtett információkat veszélyeztető biztonsági szünet miatt következik be.

Az úgynevezett adatszivárgásról szóló jelentések szerint az összes megszerzett információ nem érzékeny és nyilvánosan elérhető.

A klubház jelentése: „Adatszivárgás”

A Cybernews.com egyik beszámolója szerint adatszivárgás történt a Clubhouse, egy népszerű közösségi média alkalmazásban, amely csak az Apple felhasználók számára érhető el.

A Cybernews jelentése szerint:

– Úgy tűnik, most Klubházon a sor. Úgy tűnik, hogy a felfelé induló platform is ugyanazt a sorsot élte meg, és egy népszerű hacker fórumon ingyen kiszivárgott egy 1,3 millió Clubhouse felhasználói rekordot tartalmazó SQL adatbázis. ”

Bizalmas információk szivárogtak ki?

Úgy tűnik, hogy az úgynevezett adatszivárgás nem tartalmaz bizalmas információkat. Úgy tűnik, hogy az összes információ nyilvánosan elérhető adat, amelynek megszerzéséhez nem szükséges feltörés.

Ez a fajta (nyílvánosan elérhető) a Cybernews jelentése szerint kiszivárgott adatok:

• „Felhasználói azonosító
• Név
• Fotó URL
• Felhasználónév
• Twitter fogantyú
• Instagram fogantyú
• Követők száma
• A felhasználó által követett emberek száma
• A fiók létrehozásának dátuma
• Meghívta a felhasználói profil neve ”

Esetleg nem adatszivárgás

Jane Manchun Wong biztonsági kutató és technológiai blogger (@wongmjane) megkérdőjelezte, hogy ez egyáltalán szivárgás-e. Azt javasolta, hogy hasonlítson a nyilvános információk egyszerű automatizált letöltésére.

Jane Manchun Wong technológiai blogger és biztonsági elemző, aki gyakran közzéteszi a technológiai iparral kapcsolatos legfrissebb híreket, és olyan népszerű médiaoldalakon került bemutatásra, mint a CNN, a CNET és a The Next Web. Négyszer díjazta a Facebook Bug Bounty program sebezhetőségek felfedezéséért.

Jane tweetelt, hogy a Klubház szivárgása a nyilvánosan elérhető információk adatgyűjtésének tűnik.

A kaparás az, amikor egy szoftver képes nyilvános információkat letölteni egy webhelyről, például a tagok adatait vagy akár csak a tartalmat. Olyan, mint egy automatizált böngésző, amely nyilvános információkat tölt le.

Ebben az esetben a lehúzó egyenként tudta letölteni a nyilvános felhasználói információkat. Ami ezt a kaparást lehetővé tette, nyilvánvalóan a Clubhouse numerikus sorrendben készítette és tárolja a felhasználói információkat.

Minden alkalommal, amikor a felhasználó létrehoz egy fiókot, hozzárendelik a számának megfelelő felhasználói számot. A következő regisztrált személyhez egy számjeggyel magasabb szám tartozik. Aki felhasználói információkat szeretne letölteni, könnyen kitalálhatja a tagok számát, és a kaparó nevű szoftver segítségével letöltheti a nyilvános információkat.

Mivel a tagok száma numerikus sorrendben van, a lehúzó egyszerűen egyesével megkeresheti az egyes számlaszámokat, és letöltheti a nyilvános taginformációkat.

Jane így tweetben írja le:

„Nem látok privát információt a Klubház„ kiszivárgott adataiban ”

A felhasználói azonosítók numerikusak. Tehát csak úgy tűnik, hogy valaki lekaparta az adatokat a Clubhouse privát API-jának megütésével, az 1. felhasználói azonosítótól a másikig iterálva ”

Jane megjegyezte, hogy ebből hiányzik a tényleges feltörések technikai kifinomultsága:

„Őszintén szólva ez a„ hack ”egyáltalán nem túl lenyűgöző. A wow-hoz hasonlóan az API-t 1-től 2-ig 3-ig hurkolta az egyébként nyilvánosan elérhető adatokért. Hűha, technikailag nagyon nehéz ”

Jane idézeteket fűzött a kifejezésekhez:kiszivárgott adatok”És„csapkod”Feltehetően megkérdőjelezi ennek érvényességét, ha ezt„ szivárgásnak ”és„ feltörésnek ”nevezik.

Az adatszivárgás privát és érzékeny adatokból áll, nem pedig nyilvános adatokból, amelyek bárki számára elérhetőek.

Utána jött ezt a tweetet:

„1 klubház profiljának adatai, beleértve a nevet, a közösségi média fogantyúit, a profilképet, a követők / követők számát és egyebeket, nyilvánvalóan a Twitteren tették közzé

A szivárgás forrása azt mondta nekem, hogy ezt a Clubhouse alkalmazás megnyitásával, az áldozat profiljának megtekintésével és képernyőkép készítésével lehet megtenni. ”

A Jane tagjának beszélgetését követő Twitter-tagok szatirikus válaszokat küldtek, jelezve, hogy mennyire lesújtotta őket a nyilvánosan elérhető tartalom úgynevezett „hackelése”:

OMG itt is működik ?? pic.twitter.com/invBPAXWc8

– Herman Couwenbergh (@Hermaniak) 2021. április 11

Ó, NOOOOOOOO

– linusbeardstan69420 (@ linusbeardstan) 2021. április 11

ZIHÁL

– karraaayyyy (@smallkittylove) 2021. április 11

Mások megkérdőjelezték, hogy milyen nagy dolog a nyilvános információk letöltése:

akkor valóban törvénytelen? a Klubházban van hozzáférés egy privát API-hoz, és ilyen könnyen felhívható

– Utazás egy millió nettó vagyonhoz (@JourneytoMilly) 2021. április 11

képességeim felhasználásával feltörök ​​néhány nyilvános adatot a számítógépembe

– ? (@zemnmez) 2021. április 11

Miért nem lehet ez a klubház adatszivárgása?

Egyik információ sem privát, sem bizalmas. Az összes információ nyilvánosan elérhető. Úgy tűnik, hogy az információ megszerzéséhez használt módszer nem egy biztonsági elévülés miatt következett be. Jane Manchun Wong biztonsági kutató szerint ez a nyilvánosan elérhető információk viszonylag bonyolult letöltésének tűnik.

Idézetek

Jane Manchun Wong elmagyarázza a klubház „szivárgását” a Twitteren

Klubház adatszivárgása: 1,3 millió felhasználói nyilvántartás ingyen online