PUBLICIDADE
Topo

Vazamento do Clubhouse atinge 1,3 milhão de pessoas; empresa nega invasão

Banco de dados vazado do Clubhouse contém informações como nome de usuário, link da foto de perfil  - Siddharth Bhogra/ Unsplash
Banco de dados vazado do Clubhouse contém informações como nome de usuário, link da foto de perfil Imagem: Siddharth Bhogra/ Unsplash

Thiago Bethônico

Colaboração para Tilt

12/04/2021 14h42

Os dados pessoais de 1,3 milhão de perfis do aplicativo de áudio Clubhouse foram disponibilizados gratuitamente num fórum de hackers, de acordo com o site Cyber News. O banco de dados contém informações como nome de usuário, link da foto de perfil e de contas em outras redes sociais, como Twitter e Instagram.

Segundo o relatório publicado pelo Cyber News no sábado (10), o arquivo está disponível em formato SQL -linguagem de programação para base de dados estruturadas— e não inclui informações sensíveis como endereços de email e senhas de acesso ao Clubhouse.

Quais dados foram divulgados

  • ID (número identificador) do usuário
  • Nome
  • URL da foto
  • Nome do usuário
  • Identificador do Twitter
  • Identificador do Instagram
  • Número de seguidores
  • Número de pessoas seguidas pelo usuário
  • Data de criação da conta
  • Perfil do usuário que convidou

Vazamento expõe fragilidades do Clubhouse

Pelo Twitter, a empresa disse que não houve invasão ou violação de seus sistemas. "Os dados referidos são informações de perfis públicos do nosso aplicativo, que qualquer pessoa pode acessar por meio do app ou de nossa API [ferramenta que permite acessar partes de plataformas e serviços de internet]", tuitou a empresa.

Mas a explicação dada pela empresa parece não ter sido suficiente. De acordo com Mantas Sasnauskas, pesquisador de segurança da informação do Cyber News, a raspagem de dados [ação de coletar muitos dados públicos na internet de uma vez só] via API revela um potencial problema de privacidade.

Segundo ele, não basta que o aplicativo informe nas suas políticas que a extração de dados é proibida; é necessário criar ferramentas para dificultar o processo. "Não ter medidas antirraspagem em vigor pode ser visto como um problema de privacidade", disse.

    Arquivo com dados de 1,3 milhão de usuário do Clubhouse em fórum de hackers - Reprodução/Cyber News - Reprodução/Cyber News
    Arquivo com dados de 1,3 milhão de usuário do Clubhouse em fórum de hackers
    Imagem: Reprodução/Cyber News

    Apesar de não constarem dados sensíveis, as informações disponíveis podem ser usadas em ataques de "phishing", fraude eletrônica com o objetivo de roubar dados pessoais com histórias que servem de "iscas" para enganar o público. Um único nome de perfil, por exemplo, pode ser o suficiente para ataques direcionados capazes de causar danos reais.

    Por exemplo, o golpista pode emitir um email falso se passando pelo atendimento do Clubhouse, pedindo para a pessoa abrir uma página com campos para preencher login e senha da rede social, para que o hacker roube essas informações e hackeie a conta da vítima.

    Além disso, é possível que o criminoso combine as informações com outros bancos de dados vazados para criar perfis detalhados de suas potenciais vítimas.

    Se você suspeita que teve seus dados expostos neste vazamento, vale alterar a senha usada no aplicativo e ativar a autenticação em dois fatores —que cria mais uma senha de verificação da conta.

    Segunda vez

    O vazamento descoberto pelo Cyber News não é o primeiro caso envolvendo a privacidade de dados do Clubhouse. Em fevereiro, o aplicativo anunciou a revisão de suas práticas de proteção de dados, após um estudo apontar falhas que deixavam as informações de perfis vulneráveis ao governo chinês.

    Na ocasião, a empresa disse que, embora tenha optado por não disponibilizar o aplicativo na China, algumas pessoas conseguiram fazer o download no país, o que significa que as conversas que esses usuários tiveram foram transmitidas via servidores chineses.

    Como me proteger juridicamente?

    As vítimas de vazamentos podem acessar o canal de denúncias da Autoridade Nacional de Proteção de Dados (ANPD) para registrar que tiveram seus dados compartilhados de forma indevida. O site é o anpd.gov.br.

    Nesses casos, a autoridade poderá auxiliar em eventuais consequências jurídicas, mas ainda não poderá multar infrações sobre dados pessoais. No ano passado, o presidente Jair Bolsonaro (sem partido) sancionou uma lei alterando o início das punições a empresas e órgãos que descumprirem a Lei Geral de Proteção de Dados (LGPD). Sendo assim, as penalidades da lei só serão aplicadas a partir de agosto de 2021.

    No entanto, outras instituições e órgãos estatais podem ser acionados por quem teve seus dados violados, como o Ministério Público Federal. Também é possível acionar os órgãos de defesa do consumidor, como o Procon, a Secretaria Nacional do Consumidor (Senacon) e o Instituto Brasileiro de Defesa do Consumidor (Idec).