Clubhouse làm lộ thông tin của 1,3 triệu người dùng

xguru · 2021-04-12T09:35:40+09:00

Tệp SQL chứa thông tin người dùng đã bị công khai → Không bao gồm thông tin nhạy cảm như mật khẩu và tài khoản email → User ID, tên, URL ảnh, username, ID Twitter/Instagram, số người theo dõi, số đang theo dõi, ngày tạo tài khoản, người đã mời Phía Clubhouse chính thức trả lời rằng đây không phải là bị hack, mà là thông tin công khai có thể truy cập qua API Tuy nhiên, có khả năng sẽ bị dùng cho các cuộc tấn công social engineering, nên cần thận trọng

(cybernews.com)

6 điểm bởi xguru 2021-04-12 | 2 bình luận | Chia sẻ qua WhatsApp

Tệp SQL chứa thông tin người dùng đã bị công khai

→ Không bao gồm thông tin nhạy cảm như mật khẩu và tài khoản email

→ User ID, tên, URL ảnh, username, ID Twitter/Instagram, số người theo dõi, số đang theo dõi, ngày tạo tài khoản, người đã mời

Phía Clubhouse chính thức trả lời rằng đây không phải là bị hack, mà là thông tin công khai có thể truy cập qua API

Tuy nhiên, có khả năng sẽ bị dùng cho các cuộc tấn công social engineering, nên cần thận trọng

2 bình luận

reedids 2021-04-12

🤦‍♀️

xguru 2021-04-12

https://news.ycombinator.com/item?id=26768299

Nghe nói một người dùng đã báo cáo vấn đề này cho Clubhouse vào tháng 2 nhưng không nhận được bất kỳ phản hồi nào.

Chỉ cần có token lấy được qua MITM là có thể truy vấn không giới hạn toàn bộ hồ sơ người dùng công khai
Chỉ cần giới hạn số lượng kết quả tìm kiếm và áp dụng rate limiting ở mức nào đó là có thể chặn được, nhưng có vẻ họ hoàn toàn không làm

Clubhouse làm lộ thông tin của 1,3 triệu người dùng

Bài viết liên quan

2 bình luận