語音社群平台 Clubhouse 屢屢爆出資安疑慮,最新指控是駭客從 Clubhouse 取得完整電話號碼資料庫並計劃在暗網上出售,資料庫裡多達 38 億組電話號碼;這些電話號碼不僅是註冊用戶持有的,還包括同步上傳手機通訊錄中的號碼,所以即使沒有註冊使用 Clubhouse,也很有可能被列入這個資料庫當中。
Full phone number database of #Clubhouse is up for sale on the #Darknet. It contains 3.8 billion phone numbers. These are not just members but also people in contact lists that were synced. Chances are high that you are listed even if you haven’t had a Clubhouse login. pic.twitter.com/PfAkUJ0BL5
— Marc Ruef (@mruef) July 23, 2021
蘇黎世 scip AG 公司共同創辦人、同時也是網路安全專家的 Marc Ruef,在個人 Twitter 帳號上揭露,駭客計劃在 9 月出售從 Clubhouse 取得的電話號碼資料庫給最高出價者,裡頭多達 38 億組電話號碼;而為證明手上數據資料的真實性,還事先提供超過 8,350 萬組的日本電話號碼讓潛在買家確認。
Clubhouse 讓用戶以手機號碼進行註冊,由於初期是採取邀請制,可透過手機號碼再向其他人發出邀請函,於是 App 會詢問是否允許同步手機中的聯絡人清單,這樣不僅可以得知哪些朋友有在使用 Clubhouse,也能對新加入 Clubhouse 的朋友發出通知。
據稱在手機通訊錄新增聯絡人的同時,新的號碼也會自動上傳至 Clubhouse 的秘密資料庫,加上同步用戶手機中的聯絡人清單,這才導致 Clubhouse 資料庫被入侵後,一口氣外流 38 億組電話號碼的數據資料,遠高於 Clubhouse 對外宣稱的超過 1,000 萬註冊用戶。這也代表即使沒有註冊使用 Clubhouse,很有可能被列入外流的資料庫當中。
(首圖來源:Unsplash)
