Cuando Clubhouse estaba celebrando la apertura de registros a todo el público, ha salido a la luz una supuesta filtración de seguridad que de confirmarse podría ser un importante varapalo para la compañía. Hablamos en condicional ya que de momento no se ha podido confirmar la veracidad de esta información y ClubHouse ha negado que se trate de información sacada de su sistema, aunque dada la alarma que ha generado vamos a tratar de aclarar un poco el tema.
Todo el asunto ha salido a la luz gracias aun Tweet del experto en ciberseguridad Jiten Jain, quien se hace eco de un hacker que vende en la Dark Web un listado de 3.800 millones de números de teléfonos que afirma haber conseguido a través de ClubHouse.
A database of 3.8 billion phone numbers of #Clubhouse users is up for sale on the #Darknet. It also contains Numbers of people in user's PhoneBooks that were Synced. So Chances are high that you are listed even if you haven't had a Clubhouse login. #DataPrivacy pic.twitter.com/IFgFGA8meU
— Jiten Jain (@jiten_jain) July 24, 2021
El tamaño de esta filtración parece excesiva, pero ello es porque no se trataría de datos solo de usuarios, si no que afirma ser también de los contactos que los usuarios de Clubhouse tengan en sus smartphones. Es decir que aunque no estuviéramos dados de alta en el sistema, si algún contacto nuestro lo estuviera podría habernos comprometido. Esta es una practica habitual que las aplicaciones usan para sugerirnos contactos que ya estén presentes en la aplicación o para que podamos invitar a quienes no lo estén, aunque no deja de ser un riesgo para la seguridad.
«El simple hecho de que la app te pida compartir toda tu libreta de direcciones cuando te la descargas es una mala señal. El hecho de regalar nuestros contactos, nombres de familiares y amigos, teléfonos, direcciones de correo electrónico…, es algo que debería hacernos pensar dos veces antes de usar esta plataforma. Es cierto que si te invitan puedes simplemente utilizarla y decidir no invitar a más amigos para evitar compartir con la app tus propios contactos, pero entonces, ¿qué sentido tiene la aplicación si te quedas solo en ella? El problema en este caso no es tan siquiera que compartas tus propios datos, sino que compartas los de tu familia, amigos y compañeros de trabajo, sin su consentimiento.
A día de hoy sabemos cómo funciona el mundo. Éramos ingenuos cuando Facebook empezó hace casi 15 años, pero ahora sabemos que nuestros datos personales valen dinero. Clubhouse quiere tu libreta de direcciones, y se beneficiará de ella tarde o temprano; por no hablar de lo que puede pasar si se confirma esta filtración de los miles de millones de números de teléfono que Clubhouse tiene almacenados en sus sistemas, que pueden acabar en manos del mejor postor.«
Luis Corrons, Security Evangelist de Avast
Por la información ofrecida y ante el desmentido de ClubHouse todo apunta a que esta lista es un Fake con datos sacados de otros servicios o de bases ya filtradas, pero con la cual el vendedor quiere aprovecharse del auge de Clubhouse para hacer picar a posibles compradores. Tal y como detalla otro experto en ciberseguridad, Rajshekhar Rajaharia en su cuenta de Twitter, quien además apunta a que esta no es la primera vez que el «Hacker» usa sistemas parecidos para lograr sus propósitos.
En las declaraciones realizadas a HT Tech por Clubhouse no solo ha negado la filtración, si no que ha explicado que «hay una serie de bots que generan miles de millones de números de teléfono aleatorios. En caso de que uno de estos números aleatorios exista en nuestra plataforma debido a una coincidencia matemática, la API de Clubhouse no devuelve información identificable del usuario. La privacidad y la seguridad son de suma importancia para Clubhouse y seguimos invirtiendo en prácticas de seguridad líderes en la industria«. Es decir que si tienes una cuenta de Clubhouse no debes temer por tus datos, no al menos con esta lista.