Это была худшая неделя для социальных платформ, которые столкнулись с масштабными утечками пользовательских данных. Сначала в интернет слили базу данных Facebook* и LinkedIn, а теперь подобная участь постигла и Clubhouse. Сразу несколько СМИ заявили о том, что на одном из хакерских форумов выложили базу 1,3 млн пользователей Clubhouse с различной информацией.
Какие сведения содержатся в утечке
Как стало известно, все данные были получены путём парсинга профилей социальной сети и, по сути, являются открытой информацией, которую можно легко получить через API. Выходит, что паниковать не нужно, но принять меры предосторожности всё-таки стоит.
В базе содержатся имена и ID пользователей, фотографии профилей, даты создания аккаунтов, количество подписчиков и подписок, идентификаторы пригласивших пользователей, сведения о привязке учётных записей Twitter и Instagram*.
На что это может повлиять
Есть два варианта, как злоумышленники могут использовать данные из просочившихся в сеть файлов против пользователей Clubhouse. Первый заключается в осуществлении целевого фишинга или других видов атак социальной инженерии. Второй связан с подбором паролей к учётным записям Clubhouse. В утечке не содержатся конфиденциальные данные, однако есть связи с профилями пользователей в других социальных сетях, и этого может быть достаточно для того, чтобы более-менее компетентный злоумышленник создал реальную угрозу.
Например, можно объединить информацию, найденную в этой утечке с другими утечками данных, чтобы создать подробные профили потенциальных жертв. Имея такую информацию, злоумышленники могут организовать более серьёзные атаки или осуществить кражу личных данных.
Что нужно предпринять
Сначала желательно проверить, скомпрометирован ли адрес электронной почты, это можно сделать на Have I Been Pwned или CyberNews. Стоит остерегаться подозрительных сообщений в Clubhouse и запросов на подключение от незнакомцев, а также не переходить по ссылкам. Нужно обязательно изменить пароль от своей учётной записи и включить двухфакторную аутентификацию. Для этих целей лучше использовать менеджеры паролей.
* Деятельность Meta* (соцсети Facebook* и Instagram*) запрещена в России как экстремистская.