In vendita i numeri degli utenti Clubhouse e dei loro contatti: 3,8 miliardi le potenziali vittime
In molti, nel periodo d'oro di Clubhouse all'inizio del 2021, avevano avvertito che alcune pratiche adottate dal social per fare incetta di nuovi utenti potevano ritorcersi contro alla sicurezza degli iscritti, e alla fine lo scenario potrebbe essersi verificato: in queste ore è emersa la notizia della presenza online di una colossale banca dati di numeri di telefono presenti negli archivi dell'app. Si tratterebbe di ben 3,8 miliardi di numeri di telefono comprensivi non solo dei numeri telefonici degli iscritti al social, ma anche quelli di tutti i loro contatti. Chiunque abbia mai usato Clubhouse o abbia un amico, un parente o un collega iscritto al social potrebbe essere insomma finito coinvolto nell'operazione di rastrellamento emersa in queste ore.
La banca dati in vendita
Tra i primi a dare la notizia c'è il ricercatore informatico Marc Ruef, che ha pubblicato la schermata di un forum online relativa al presunto archivio dei numeri degli utenti Clubhouse, rastrellati nel corso degli scorsi mesi da un venditore la cui identità è rimasta celata. Come prova dell'autenticità dell'operazione il soggetto ha messo a disposizione dei lettori una sottoselezione che comprende più di 80 milioni di numeri di telefono. Stando alle indicazioni fornite nell'intervento sul forum, il pacchetto completo sarà messo in vendita attraverso un'asta che si terrà a settembre e include due elementi che se ben sfruttati possono essere decisamente pericolosi: i numeri di telefono degli utenti del social audio e il valore assegnato loro dal sistema di valutazione dell'app, che prende in considerazione la frequenza con la quale un numero compare nelle rubriche degli altri utenti.
I dati rubati
Tra le informazioni provenienti da Clubhouse non ci sono dunque nomi e cognomi né altri dati sensibili legati ai numeri di telefono; legare un numero di telefono a una identità è una operazione che i truffatori interessati potrebbero svolgere tranquillamente sfruttando altre banche dati illegali messe insieme utilizzando informazioni trapelate da altre piattaforme. Il sistema di valutazione dei numeri messo in piedi da Clubhouse può però dare un'idea di massima di quanto un numero di telefono sia importante rispetto a un altro, e di conseguenza quanto sia importante il proprietario e quanto possa valere la pena bersagliarlo con una campagna truffaldina oppure semplicemente approfondirne la conoscenza.
I dubbi sull'operazione
Non è chiaro come i dati siano stati ottenuti dal social, mentre sul motivo per cui una banca dati di un'app da pochi milioni di utenti possa contenere i numeri di miliardi di individui, una risposta può arrivare dalla pratica in uso presso parecchie piattaforme social di chiedere l'accesso ai numeri di telefono nella rubrica dei nuovi iscritti. In Clubhouse l'operazione viene portata a termine subito dopo l'iscrizione per dare la possibilità di invitare altre persone all'interno del social, ma così facendo memorizza i numeri di telefono di persone che potrebbero non voler regalare questo dato a un'azienda che non conoscono.
La risposta di Clubhouse
Stando a una dichiarazione di Clubhouse rilasciata nelle ore successive all'accaduto, i numeri di telefono finiti online non sarebbero stati attivamente sottratti al social ma "generati casualmente" da appositi algoritmi. Una delle possibilità è che gli autori della banca dati abbiano utilizzato questi numeri per confrontarli con quelli presenti sul social, memorizzando nell'archivio tutte le corrispondenze trovate. Da una parte insomma i numeri di telefono all'interno della banca dati apparterrebbero effettivamente agli utenti della piattaforma; dall'altra, non sarebbero stati ottenuti violando i sistemi di sicurezza della piattaforma ma attraverso una tecnica diversa.
Di seguito la dichiarazione di Clubhouse:
Non c'è stato nessun breach in Clubhouse. Esiste una serie di bot che genera miliardi di numeri di telefono casuali. Nel caso in cui uno di questi numeri casuali sia sulla nostra piattaforma a causa di una coincidenza matematica, l'API di Clubhouse non restituisce alcuna informazione identificabile circa l'utente. La privacy e la sicurezza sono priorità di massima importanza per Clubhouse e continuiamo a investire nelle migliori procedure di sicurezza presenti sul mercato.