近日,瑞士数字安全和数据保护专家马克·鲁夫(Mark Ruef)在推特上表示,美国音频社交软件Clubhouse的用户数据库正在暗网Darknet上出售,其中包括38亿个电话号码。目前,Clubhouse回应称,并未发现有数据泄露事件发生。
据了解,Clubhouse是一款于去年4月上线的即时音频社交软件,主要功能是为多人提供实时在线语音群聊服务。它没有文字聊天功能,用户只能通过语音交流,且无法录屏或录音。Clubhouse目前约有1000万活跃用户。
南都·隐私护卫队了解到,7月24日,鲁夫在暗网Darknet上发现了出售Clubhouse用户数据库的帖子,帖内展示的样本数据包括8300万个电话号码,其中大部分来自日本。发布出售信息的黑客还表示,计划于今年9月4日为窃取的数据举办一场拍卖会。
据悉,这些被出售的电话号码不仅包括用户私人号码、座机号码及专业号码等,还有并未注册Clubhouse的用户通讯录联系人的电话号码。原因是该应用上线初期采取用户邀请制,新用户只有作为通讯录好友被老用户邀请才能访问该应用。因此,老用户在邀请新用户加入时,Clubhouse需获取其通讯录访问权限。
记者调查发现,Clubhouse近期推送的新版本已就此做出改变。据隐私政策显示,Clubhouse目前为用户提供了与应用共享通讯录电话号码和用户手动输入号码两种邀请方式。此外,7月22日,Clubhouse宣布向所有人开放。
事实上,欧盟《通用数据保护条例》(GDPR)规定,个人信息的收集需遵循“充分、相关且仅限于与其处理目的相关的必要内容”原则。如果此次数据泄露事件涉及欧洲用户,Clubhouse 可能面临欧盟的巨额罚款。
“此次Clubhouse数据库泄露是对GDPR的一次考验,所有GAFA(对谷歌、亚马逊、脸书、苹果四个美国科技业巨擘的简称)都在使用这样的方式收集非其用户的个人数据。”黑客的帖子写道,“法律是会选择制裁Clubhouse,还是它的存在仅是一种威胁?我将拭目以待。”
然而,Clubhouse目前回应称,未发现有数据泄露事件发生,所谓被泄露的数十亿电话号码是机器人生成的随机数字,并非真正的用户数据。即便存在数字排列的巧合,恰好有随机数字与软件中某位用户的电话号码相吻合,Clubhouse的API(应用程序编程接口)也不会透露该用户的任何个人信息。
独立网络安全研究员拉贾塞卡·拉贾哈里亚向媒体表示,被泄露的Clubhouse数据库仅包括没有姓名、照片或其他详细信息的电话号码,而这种电话号码列表很容易生成。
南都·隐私护卫队梳理发现,这并非Clubhouse首次发生用户信息泄露事件。据报道,今年4月,一个包含130万Clubhouse用户个人信息的数据库在某黑客论坛上免费流传,这些用户信息包括用户名、姓名、照片、推特及Instagram关联账户等。
文|樊文扬
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
