Clubhouseは今週も世界中で話題をさらっていますが、今回は物議を醸すニュースを伴っています。音声ベースのソーシャルネットワークであるClubhouseのユーザー130万人の個人データが、人気のハッカーフォーラムで公開されましたが、同社は漏洩ではないと主張しています。

Cyber​​Newsの報道によると、先週、何者かが130万人のClubhouseユーザーデータを収録したデータベースを公開しました。このデータベースには、ユーザーID、名前、写真、ソーシャルネットワークのプロフィール、その他のプロフィール詳細などの情報が含まれています。

ClubhouseのCEO、ポール・デイヴィソン氏は直ちに、漏洩したデータに関する記事は「誤解を招くものであり、虚偽である」と主張しました。デイヴィソン氏は、これらのデータはすべてClubhouseユーザーに公開されていると主張しているからです（The Verge経由）。その後、Clubhouseの公式Twitterアカウントは、漏洩したデータベースデータはアプリのAPIを通じてどの開発者でも取得可能であることを改めて強調する声明を発表しました。

これは誤解を招く誤りです。Clubhouseは侵害やハッキングの被害に遭っていません。ここで言及されているデータは、当アプリの公開プロフィール情報すべてであり、アプリまたはAPI経由で誰でもアクセスできます。

それでも、このアプリはプライバシーに関する懸念を引き起こしました。ユーザーデータのプライバシーが日々重要になる中、ソーシャルネットワークの全ユーザーリストを含むデータベースを誰でもダウンロードできるという事実は、控えめに言っても疑問です。

サイバーニュースのセキュリティ研究者マンタス・サスナウスカス氏は、Clubhouseは開発者がアクセスできるデータの量を制限するためにAPIの仕組みを見直すべきだと主張している。公開されているデータベースには公開情報のみが含まれているものの、「フィッシング攻撃やソーシャルエンジニアリング攻撃」につながる可能性がある。

Clubhouseアプリの構造上、トークンまたはAPI経由で誰でもClubhouseの公開ユーザープロフィール情報全体を照会でき、トークンには有効期限がないようです。これは利用規約だけでなく、アプリの技術的実装にも反映されるべきであり、ユーザーデータのスクレイピングを困難にする必要があります。スクレイピング対策が講じられていないことは、プライバシーの問題と見なすことができます。

特に攻撃意欲の高い攻撃者は、漏洩したSQLデータベースで見つかった情報と他のデータ侵害情報を組み合わせることで、潜在的な被害者の詳細なプロファイルを作成することができます。こうした情報を入手すれば、より説得力のあるフィッシング攻撃やソーシャルエンジニアリング攻撃を仕掛けたり、ハッカーフォーラムで情報が漏洩した人物に対して個人情報窃盗を実行したりすることも可能です。

先週、TwitterがClubhouseを40億ドルで買収することを検討していたと報じられましたが、その後交渉は中止されました。Clubhouseは現在、FacebookやTwitterといった企業が独自のライブオーディオプラットフォームを開発する中で、競争が激化する中、新たな投資家を探しています。

続きを読む：

• Clubhouse、クリエイターに送金するための新機能「支払い」を導入
• LinkedInは独自のClubhouseのようなプラットフォームを持ちたいと考えている
• Facebookの新しい「ライブオーディオ」機能は、基本的にClubhouseのコピーである
• SpotifyがライブオーディオのClubhouse競合の計画を発表

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。