اطلاعات نشتی اعضای عضو کلاب هاوس گزارش شده است. این اطلاعات از داده های عمومی در دسترس است و از اطلاعات حساس مانند گذرواژه تشکیل نمی شود. به اصطلاح نشت ممکن است در واقع یک خراش اطلاعات در دسترس عموم باشد.
نشت داده
به طور کلی نشت داده به عنوان نقض اطلاعات خصوصی ، محرمانه و حساس آشکار می شود. نشت داده ها معمولاً به دلیل وجود امنیتی رخ می دهد که اطلاعات مخفی را به خطر می اندازد.
طبق گزارشاتی در مورد به اصطلاح نشت داده ها ، تمام اطلاعاتی که به دست آمده حساس نیستند و در دسترس عموم است.
گزارش Clubhouse “Data Leak”
گزارشی در Cybernews.com حاکی از آن است که در Clubhouse ، یک برنامه محبوب رسانه های اجتماعی که فقط برای کاربران اپل در دسترس است ، نشتی داده شده است.
براساس گزارش سایبرنیوز:
تبلیغات
ادامه مطلب را در زیر بخوانید
“… به نظر می رسد اکنون نوبت کلابهاوس است. به نظر می رسد که پلتفرم تازه کار نیز همین سرنوشت را داشته است ، با یک پایگاه داده SQL حاوی 1.3 میلیون رکورد کاربر Clubhouse به صورت رایگان در یک انجمن محبوب هکرها درز کرده است. “
آیا اطلاعات محرمانه به بیرون درز کرده است؟
به نظر نمی رسد اطلاعات به اصطلاح نشت داده حاوی اطلاعات محرمانه ای باشد. به نظر می رسد همه اطلاعات در دسترس عموم است که برای به دست آوردن آن نیازی به هک نیست.
این لیست از نوع (در دسترس عموم) اطلاعاتی که سایبرنیوز گزارش داد:
- “شناسه کاربری
- نام
- آدرس اینترنتی عکس
- نام کاربری
- دسته توییتر
- دسته اینستاگرام
- تعداد دنبال کنندگان
- تعداد افرادی که توسط کاربر دنبال می شوند
- تاریخ ایجاد حساب
- دعوت شده توسط نام پروفایل کاربری “
احتمالاً نشت داده نیست
جین مانچون وونگ ، محقق امنیت و وبلاگ نویس فناوری (wongmjane) سوال کرد که آیا این اصلاً نشتی است یا خیر. وی پیشنهاد کرد که این یک بارگیری ساده و خودکار از اطلاعات عمومی است.
Jane Manchun Wong یک وبلاگ نویس فناوری و تحلیلگر امنیت است که مرتبا اخبار مربوط به صنعت فناوری را ارسال می کند و در سایت های رسانه ای برتر مانند CNN ، CNET و The Next Web نمایه شده است. او چهار بار توسط برنامه Facebook Bug Bounty برای کشف آسیب پذیری ها جایزه دریافت کرده است.
تبلیغات
ادامه مطلب را در زیر بخوانید
جین در توئیتر خود نوشت که به نظر می رسد نشت کلاب هاوس اطلاعاتی است که در دسترس عموم است.
خراش (scrape) زمانی است که یک نرم افزار قادر به بارگیری اطلاعات عمومی از وب سایت مانند اطلاعات اعضا یا حتی فقط محتوا باشد. مانند یک مرورگر خودکار است که اطلاعات عمومی را بارگیری می کند.
در این حالت دستگاه تراش قادر بود اطلاعات کاربران عمومی را یکی یکی بارگیری کند. آنچه باعث ایجاد این تراشکاری شد ظاهرا Clubhouse اطلاعات کاربران را به ترتیب عددی ایجاد و ذخیره می کند.
هر بار که کاربر یک حساب کاربری ایجاد می کند ، یک شماره کاربری که با او مطابقت دارد اختصاص می یابد. به نفر بعدی که ثبت نام می کند ، یک عدد اختصاص داده می شود که یک رقم بالاتر است. شخصی که می خواهد اطلاعات کاربر را بارگیری کند ، می تواند به راحتی تعداد اعضا را حدس بزند و از نرم افزاری به نام scraper برای بارگیری اطلاعات عمومی استفاده می کند.
از آنجا که شماره های اعضا به ترتیب عددی است ، دستگاه تراش می تواند به سادگی هر شماره حساب را یکی یکی جستجو کرده و اطلاعات اعضای عمومی را بارگیری کند.
این جین است آن را در یک توییت توصیف می کند:
“عدم مشاهده اطلاعات خصوصی در این” اطلاعات فاش شده “از کلاب هاوس
شناسه های کاربر عددی هستند. بنابراین به نظر می رسد کسی داده ها را با زدن API خصوصی Clubhouse ، با تکرار از شناسه کاربر 1 به بعد ، داده ها را رد می کند “
جین در مورد چگونگی فاقد پیچیدگی فنی هک های واقعی اظهار داشت:
“راستش این” هک “اصلاً چشمگیر نیست. مانند wow ، شما API را از 1 به 2 به 3 حلقه داده اید که در غیر این صورت در دسترس عموم است. وای ، از نظر فنی بسیار چالش برانگیز است “
جین به عبارات “داده های فاش شده“و”هک کردن“احتمالاً برای زیر سال بردن صحت نامیدن این” نشت “و” هک “.
نشت داده شامل داده های خصوصی و حساس است ، نه داده های عمومی که برای همه در دسترس است.
او با پیگیری کرد این توییت:
“داده های 1 نمایه Clubhouse ، از جمله نام ، دسته های رسانه های اجتماعی ، عکس نمایه ، تعداد دنبال کنندگان / تعداد افراد دیگر و موارد دیگر ، ظاهرا در توییتر ارسال شده است
منبع این درز اطلاعات به من گفت که این کار با باز کردن برنامه Clubhouse ، مشاهده مشخصات قربانی و گرفتن عکس از صفحه انجام می شود. “
تبلیغات
ادامه مطلب را در زیر بخوانید
اعضای توئیتر که بحث جین را دنبال می کردند با هجو کنایه های هجوآمیز نشان دادند که به دلیل اصطلاح “هک” محتوای موجود در دسترس عموم مردم چقدر تحت فشار قرار گرفته اند:
OMG اینجا هم کار می کند pic.twitter.com/invBPAXWc8
– هرمان کوونبرگ (Hermaniak) 11 آوریل 2021
OH NOOOOOOOO
– linusbeardstan69420 (linusbeardstan) 11 آوریل 2021
GASP
– karraaayyyy (smallkittylove) 11 آوریل 2021
دیگران سوال کردند که بارگیری اطلاعات عمومی چگونه کار بزرگی است:
آیا واقعاً غیرقانونی است؟ یافتن دسترسی به یک API خصوصی و فراخوانی آسان آن در Clubhouse است
– سفر به یک میلیون ارزش خالص (JourneytoMilly) 11 آوریل 2021
با استفاده از مهارت های من برای هک کردن برخی از داده های عمومی به کامپیوتر من
– ? (zemnmez) 11 آوریل 2021
چرا این ممکن است نشت داده ای از کلاب هاوس نباشد
هیچ یک از اطلاعات خصوصی یا حساس نیستند. همه اطلاعات در دسترس عموم است. به نظر می رسد روشی که برای بدست آوردن اطلاعات به کار رفته است به دلیل وجود امنیت نبوده است. به گفته جین مانچون وونگ ، محقق امنیتی ، به نظر می رسد این یک بارگیری نسبتاً پیچیده از اطلاعات موجود در دسترس عموم باشد.
تبلیغات
ادامه مطلب را در زیر بخوانید
استناد
جین مانچون وونگ در مورد توزیع توییتر درباره باشگاه “نشت” توضیح می دهد
Clubhouse Data Leak: 1.3 میلیون رکورد کاربر بصورت آنلاین به صورت رایگان درز کرده است