Clubhouse ข้อมูลผู้ใช้ 1.3 ล้านรายรั่วไหล

xguru · 2021-04-12T09:35:40+09:00

มีการเผยแพร่ไฟล์ SQL ที่บรรจุข้อมูลผู้ใช้ → ไม่มีข้อมูลอ่อนไหวอย่างรหัสผ่านหรือบัญชีอีเมล → User ID, ชื่อ, Photo URL, Username, ID ของ Twitter/Instagram, จำนวนผู้ติดตาม, จำนวนที่ติดตาม, วันที่สร้างบัญชี, ผู้ที่เชิญ ฝั่ง Clubhouse ชี้แจงอย่างเป็นทางการว่าไม่ได้ถูกแฮ็ก แต่เป็นข้อมูลสาธารณะที่เข้าถึงได้ผ่าน API อย่างไรก็ตาม น่าจะสามารถถูกนำไปใช้ในการโจมตีแบบ social engineering ได้ จึงควรระมัดระวัง

(cybernews.com)

6 คะแนน โดย xguru 2021-04-12 | 2 ความคิดเห็น | แชร์ทาง WhatsApp

มีการเผยแพร่ไฟล์ SQL ที่บรรจุข้อมูลผู้ใช้

→ ไม่มีข้อมูลอ่อนไหวอย่างรหัสผ่านหรือบัญชีอีเมล

→ User ID, ชื่อ, Photo URL, Username, ID ของ Twitter/Instagram, จำนวนผู้ติดตาม, จำนวนที่ติดตาม, วันที่สร้างบัญชี, ผู้ที่เชิญ

ฝั่ง Clubhouse ชี้แจงอย่างเป็นทางการว่าไม่ได้ถูกแฮ็ก แต่เป็นข้อมูลสาธารณะที่เข้าถึงได้ผ่าน API

อย่างไรก็ตาม น่าจะสามารถถูกนำไปใช้ในการโจมตีแบบ social engineering ได้ จึงควรระมัดระวัง

2 ความคิดเห็น

reedids 2021-04-12

🤦‍♀️

xguru 2021-04-12

https://news.ycombinator.com/item?id=26768299

มีรายงานว่าผู้ใช้ที่รายงานประเด็นนี้ให้ Clubhouse ทราบตั้งแต่เดือนกุมภาพันธ์ไม่ได้รับคำตอบใด ๆ

หากมีเพียงโทเคนที่ได้มาจาก MITM ก็สามารถคิวรีโปรไฟล์ผู้ใช้สาธารณะทั้งหมดได้แบบไม่จำกัด
ถ้าจำกัดจำนวนผลการค้นหาและทำ Rate Limiting อย่างน้อยก็น่าจะป้องกันได้ แต่ดูเหมือนว่าไม่ได้ทำเลย

Clubhouse ข้อมูลผู้ใช้ 1.3 ล้านรายรั่วไหล

บทความที่เกี่ยวข้อง

2 ความคิดเห็น