Gegevens 1,3 miljoen Clubhouse-gebruikers op straat

 

Gegevens van Facebook- en LinkedIn-gebruikers op het dark web

De laatste tijd horen we regelmatig dat privacygevoelige persoonsgegevens en andere data spontaan opduiken op het dark web. Eerst was het de beurt aan Facebook, waar hackers erin slaagden om de privégegevens van meer dan een half miljard gebruikers te combineren tot één dataset. Daarbij ging het om voor- en achternamen, woonplaatsen, geboortedata, geslacht, telefoonnummers, e-mailadressen, relatiestatus, teksten die in de biografie van gebruikers staan, Facebook ID’s en data dat accounts zijn aangemaakt. Al deze data kan gratis gedownload worden. Enkele dagen later werden de gegevens van 500 miljoen LinkedIn-gebruikers te koop aangeboden op het dark web. Cybercriminelen en hackers slaagden erin om voor- en achternamen, telefoonnummers, e-mailadressen, geslacht, LinkedIn ID’s, links naar LinkedIn-profielen, links naar sociale media, functienamen en andere werk gerelateerde data buit te maken.

Clubhouse: ‘Geen sprake van een datalek of hackaanval’

Nu is Clubhouse het slachtoffer. Volgens Cybernews zijn de gegevens van 1,3 miljoen gebruikers gecombineerd tot één dataset die te koop wordt aangeboden op een populair hackersforum. Volgens de cybersecuritysite gaat het om namen, gebruikersnamen, User ID’s, links naar Twitter-accounts en Instagram-profielen, aantal volgers, de mensen die een gebruiker volgt en de datum waarop de Clubhouse-account is aangemaakt. Op Twitter zegt Clubhouse dat de berichtgeving over het onderwerp ‘misleidend’ is. De computersystemen en servers van het bedrijf zijn niet gehackt. In plaats daarvan gaat het om openbare gegevens die via de app of API verkrijgbaar zijn. Deze gegevens zijn door kwaadwillenden gescrapet. Bij scraping verzamelt een geautomatiseerd programma gegevens op het internet, veelal afkomstig uit meerdere openbare bronnen, en combineert deze tot één grote database. Hoe waardevol de aangeboden dataset op het hackersforum is, is moeilijk te zeggen. Hij bestaat immers uit gegevens die voor iedereen vrij toegankelijk zijn. Er zijn geen zeer gevoelige gegevens buitgemaakt, zoals creditcardgegevens of wachtwoorden. Tegelijkertijd kunnen cybercriminelen en hackers deze gegevens combineren met data die uit eerdere datalekken zijn bemachtigd. In dat geval loeren identiteitsfraude, spearphishing en spamming op de hoek. Mocht je een Clubhouse-gebruiker zijn, wees dan bedacht op dergelijke praktijken.

Franse toezichthouder onderzoekt Clubhouse

Clubhouse is een app waarmee gebruikers digitale kamers kunnen aanmaken om audiogesprekken met elkaar te voeren. Kamers kunnen openbaar of privé zijn. Meestal praten de deelnemers in een gesprek over een specifiek onderwerp, maar het staat iedereen vrij om andere thema’s aan te snijden. De app werd in april 2020 gelanceerd en heeft naar schatting ruim 10 miljoen actieve leden. De Commission Nationale de l’Informatique et des Libertés (CNIL), de Franse tegenhanger van de Autoriteit Persoonsgegevens, kondigde afgelopen maand aan dat ze een onderzoek start naar Clubhouse. Privacyorganisaties en -activisten zouden geklaagd hebben dat de app de AVG-regels overtreedt. Via een online petitie hebben ze meer dan 10.000 handtekeningen verzameld van mensen die bezorgd zijn dat Clubhouse de Europese privacyregels overtreedt. Als blijkt dat de ontwikkelaars van Clubhouse zich niet aan de AVG houden, kan de Franse toezichthouder optreden. Ze kan aanwijzingen of instructies geven om het bedrijf te dwingen de privacyregels na te leven. In het uiterste geval kan ze een boete opleggen. Deze sanctie kan oplopen tot 4 procent van de wereldwijde omzet, of 20 miljoen euro, afhankelijk van welk bedrag hoger is.