Lo sapete vero che il social network ClubHouse non richiede all'utente una password per accedere al sistema? Per autenticarsi viene utilizzato il numero di telefono cellulare e il proprio nome utente. Nessuna password.

Cosa è successo?

Alcune ore fa è apparso un messaggio, su uno dei forum più frequentati per lo scambio di data base rubati, che annunciava la messa online di un data base composto dai dati di circa 1.3 milioni di utenti di ClubHouse, il famoso voice-social network.

Il messaggio della pubblicazione dei dati esfiltrati da ClubHouse

Il data base, effettivamente contiene 1.300.001 righe, ciascuna corrisponde ad un utente e riporta le seguenti informazioni:

  • ID Account
  • Username
  • Il nome (quello visualizzato sul profilo)
  • L'URL della foro del profilo
  • Link a Twitter e Instagram (se presenti)
  • Numero dei Followers
  • ID dell'account che lo ha invitato

Dobbiamo preoccuparci?

In linea di massima no.

I dati prelevati sono in effetti dati pubblici, ovvero visualizzabili all'interno dell'app da chiunque. Questo significa che allo stato attuale delle cose, non c'è stato un data breach ovvero un furto di informazioni: sotto questo aspetto, ClubHouse non ha messo in evidenza problemi di sicurezza, così come era accaduto un paio di mesi fa con il caso delle "app pirata" (ne ho parlato qui)

Altro tema è il fatto che ClubHouse permetta di poter raccogliere facilmente questi dati che, una volta aggregati, possono essere usati per attività di social engineering. E questo non è bello.

Le così dette attività di scraping - ovvero di raccolta dati dai siti web - spesso non sono autorizzate e violano i termini del sito e nei casi più gravi utilizzano bug del sistema (come sul caso Facebook): bisogna quindi che chi eroga un servizio, ponga la giusta attenzione.

D'altronde abbiamo visto fin dalla sua nascita che sotto gli aspetti della Privacy e della cura dei dati degli utenti, a ClubHouse non è mai importato molto francamente....

Cambiare Password??

Permettetemi un appunto a tutte le comunicazioni che in queste ore circolano online a proposito di quanto accaduto e che suggeriscono agli utenti di cambiare password..... spesso troviamo articoli scritti a più mani e magari neppure riletti :-(

Per concludere: nessuna preoccupazione, continuiamo ad usare ClubHouse (sperando che migliorino il loro focus sulla gestione e protezione dei dati personali degli utenti) e magari diffidiamo da qualche testata online che spara suggerimenti... inesistenti ;-)

Se ci saranno novità in merito, vi aggiorno nel prossimo episodio di CronacheDigitali, la prossima settimana!