CyberNewsは4月11日(米国時間)、「Clubhouse data leak: 1.3 million scraped user records leaked online for free|CyberNews」において、音声SNSのClubhouseから130万件に上るユーザープロファイルデータがハッカーフォーラムにおいて無償で配布されていると伝えた。

CyberNewsによると、無償で配布されているデータには以下の情報が含まれているという。

  • ユーザーID
  • 登録した名前
  • プロファイル写真のURL
  • 連携しているTwitterのアカウント名
  • 連携しているInstagramのアカウント名
  • フォロワー数
  • ユーザーがフォローしている人数
  • アカウント作成日
  • 招待したユーザーのユーザー名

これらは、いずれもユーザーのプロファイルページで公開されている情報である。Clubhouseの公式Twitterアカウントでは、これらの情報はアプリのAPIを利用すれば誰でも取得できるものであり、Clubhouseシステムが不正に侵害されたわけではない、という旨の説明がツイートされた。

  • Clubhouse公式Twitterアカウントによる説明

    Clubhouse公式Twitterアカウントによる説明

アプリ内で公開されている情報とは言っても、場合によっては悪用につながる可能性があるので注意が必要だ。特に130万件という量には注目する必要がある。例えば、Clubhouseは実名登録が基本なため、TwitterやInstagramで実名を公表していないユーザーでも、Clubhouseのプロファイルデータを使えば照合が可能となる。機械的に作成されたTwitterまたはInstagramユーザーの実名リストが、フィッシング詐欺やソーシャルエンジニアリング攻撃に悪用される危険性も考えられる。

CyberNewsは、Clubhouseからの不審なメッセージや接続要求に注意するとともに、パスワードマネージャーを使用してパスワードの強度を高めることや、すべてのオンラインアカウントで2要素認証を導入することなどを推奨している。