Хакеры слили данные 1.3 млн пользователей ClubHouse
Сегодня ночью база данных SQL, содержащая почти полтора миллиона записей с персональными данными реальных аккаунтов голосовой соцсети КлабХаус, появилась на множестве популярных хакерских форумах и сайтах. Россияне также есть в украденной базе. Представители соцсети отреагировали через официальный Твиттер.
Одним из первых обнаружил архив с базой данных американский компьютерный портал «CyberNews», вот ссылка на оригинальную статью. Журналисты портала попробовали связаться с разработчиками социальной сети и получить от них комментарии (известно ли им об этом инциденте и, если да, то действительно ли в базе реальные взломанные данные), но создатели соцсети не ответили порталу, за то прокомментировали это вполне закономерное событие через Twitter (см. ссылку и перевод реакции ниже после видео ролика).
Официальный аккаунт социальной сети в Твиттере отреагировал почти сразу, далее прямая цитата: «This is misleading and false. Clubhouse has not been breached or hacked. The data referred to is all public profile information from our app, which anyone can access via the app or our API.»
Перевод на русском языке: «Это заблуждение и ложь. КлубХаус не был хакнут или взломан. Упомянутые данные — это всё публичная информация профиля из нашего приложения, доступ к которой любой желающий может получить через приложение или наш API.»
Какие данные КлабХаус были «украдены»?
Журналисты скачали базу и обнаружили, что в ней содержится множество данных, с очень высокой вероятностью связанных с профилями реальных пользователей ClubHouse, которые удалось проверить (также см. картинку ниже):
- Идентификатор пользователя
- Имя пользователя
- URL-адрес фотографии
- Никнейм, адрес профиля
- Ссылка на Твиттер
- Ссылка на Инстаграм
- Количество подписчиков
- Количество подписок
- Дата регистрации в соцсети
- Кто пригласил пользователя
Анализ взломанных данных показывает, что в украденной базе есть информация только из профилей пользователей клубов, пусть и глубоко систематизированная — никаких важных и конфиденциальных данных, которые нельзя было бы найти в приложении в ручном режиме, не обнаружено, например, платежные данные о подключенных банковских картах или иная важная юридическая информация.
Чем опасны «скаченные» из ClubHouse данные?
Собранные данные могут быть использованы злоумышленниками против реальных пользователей КлабХауса, особенно если будет применен заранее автоматизированный способ воздействия на потенциальных жертв, например:
- Осуществление целенаправленного фишинга или иных видов социальных атак непосредственно направленных на конкретных пользователей, используя связь с пригласившими их юзерами либо связав с аккаунтами в других соцсетях;
- Раскрытая в распространяемой базе данных информация также может быть использована для подбора паролей («брутфорс» или иной метод подбора) к аккаунтам социальной сети;
- Комбинирование полученных данных с другими данными, украденными ранее из других социальных сетей, форумов и баз ради создания особо подробной базы профилей на потенциальных жертв будущих хакерских атак.
Имея такую информацию, потенциальные злоумышленники могут организовать гораздо более убедительные фишинговые атаки и воздействия с применением методов социальной инженерии против реальных людей, информация о которых уже была ранее раскрыта.
Нас ждут новые форматы мошенничества?
Комбинируя старые и новые данные, украденные из ClubHouse, а также собрав аудио записи голосов и диалогов конкретных пользователей, причем в разных интонациях и диалоговых ситуациях, можно в дальнейшем совершать атаки на людей в реальном «оффлайн» мире, используя совершенно новые возможности для кражи личных и финансовых данных, шантажа и мошенничества, в том числе с подменой голоса для возможного оказания воздействия на родственников, друзей и коллег потенциальных жертв.
Ведь зная всю подноготную, все социальные связи возможных жертв, а также используя набор голосовых фонем, украденных из КлабХаус, для создания изощренных аудио диалогов, которые будет абсолютно невозможно отличить от диалога с реальным близким человеком — злоумышленники получают ранее невиданный инструмент для успешного телефонного мошенничества и голосовых атак через мессенджеры и социальные сети, а также любые другие голосовые каналы связи. При этом функция подмены телефонного номера звонящего на любой другой номер, доступна сейчас даже школьникам!
Наступает новая эра кибер-преступлений, от которых пока нет никакой, даже теоретической возможности защититься или предотвратить такие атаки техническими способами!