بهتازگی دیتابیسی در انجمنهای محبوب هکرها منتشر شده که ادعا میشود اطلاعات شخصی ۱.۳ میلیون کاربر Clubhouse در آن وجود دارد. بلافاصله شاهد خبرها و تیترهایی با عنوان هک کلاب هاوس بودیم که کاربران این شبکه اجتماعی را نگران کرده است. معرفی و آموزش کامل کلاب هاوس را میتوانید در این مطلب بخوانید اما آیا واقعاً کلاب هاوس هک شده است؟
خیر! هک کلاب هاوس واقعیت ندارد
دیتابیس SQL درز کرده یا بهتر بگوییم منتشر شده صرفاً اطلاعات عمومی کاربران کلاب هاوس است. این اطلاعات شامل موارد زیر است:
- نام کاربری
- نام
- تصویر پروفایل
- پروفایل توییتر
- پروفایل اینستاگرام
- تعداد فالورها
- تعداد فالویینگها
- زمان عضویت
- نام معرف
اگر کاربر کلاب هاوس باشید حتماً میدانید تمامی این اطلاعات در پروفایل هر شخص وجود دارد و در واقع اطلاعات عمومی پروفایل محسوب میشود. به این ترتیب کلاب هاوس هک نشده و صرفاً اطلاعات عمومی از طریق یک اسکریپت Crawl جمعآوری شده است.
جستجوی بیشتر نشان میدهد در واقع این اطلاعات را یک کاربر توییتر به نام وحید باقی در یک پروژه تحقیقاتی جمعآوری کرده و به رایگان منتشر کرده است. اما سودجویانی این دیتابیس را در انجمنهای هکری منتشر کرده و ادعای هک Clubhouse را دارند. اینکه آیا کراول اطلاعات عمومی شبکههای اجتماعی باید ممکن باشد یا خیر البته بحث مجزایی است. با اینحال همانطور که کلاب هاوس میگوید هیچ هک و نفوذی به سرورها و اطلاعات شخصی مثل شماره تلفن یا پسورد انجام نگرفته است.
این خبر گمراهکننده و اشتباه است. کلاب هاوس مورد هک یا نفوذ قرار نگرفته است. دیتای منتشر شده اطلاعات عمومی پروفایل از اپلیکیشن ماست که هر کسی میتواند با استفاده از اپلیکیشن یا API به آن دسترسی پیدا کند.
پس خیالمان راحت باشد؟
همیشه یک اصل را در نظر داشته باشید: «هرچیزی که در اینترنت منتشر میکنید قابلیت ذخیره کردن و سواستفاده بالقوه را دارد.» به این ترتیب وقتی اطلاعاتی را خصوصاً به شکل عمومی در شبکههای اجتماعی قرار میدهید باید انتظار داشته باشید هر کسی بتواند آن را ببیند.
با اینحال این اطلاعات میتواند مورد سواستفاده سودجویان قرار بگیرد. به طور مثال افرادی ممکن است با این اطلاعات ادعا کنند چیزهای بیشتر از شما میدانند. همچنین اگر پیامی مبنی بر هک کلاب هاوس و لینکی برای تغییر مشخصات خود یا رفع مشکل برای شما ارسال شد به احتمال زیاد با یک حمله فیشینگ مواجهید. بسیاری از سودجویان ممکن است با در دست داشتن این اطلاعات از شما اطلاعات بیشتری را طلب کنند.
چه کنیم تا در کلاب هاوس هک نشویم؟
مانند هر شبکه اجتماعی دیگر یک پسورد قوی و مورد اطمینان و متفاوت از سایر حسابهای خود انتخاب کنید. این پسورد را هر چند وقت یکبار عوض کنید و آن را در اختیار دیگران نگذارید. همچنین در صورت امکان تأیید هویت دومرحلهای را هم برای تمام حسابهای کاربری خود خصوصاً ایمیلتان فعال کنید.
اگر همین اطلاعات از سروش منتشر میشد، باز هم همین شدت و سرعت را در حمایت از اینکه «نه بابا هک نشده فقط اطلاعات عمومی همه اعضایش منتشر شده» داشتید!؟
عمرا!
متاسفانه پرونده سروش در زمینه حریم شخصی خیلی پربارتر از اینهاست! بله شما توی موارد مشابه اگر مثالی میبینید حتماً متذکر بشید تا اصلاح بشه.