Cum am spart Clubhouse inca de la inceputul lunii martie si o sa si vorbesc public despre asta

Publicat de

S-au agitat și, aparent, am reușit să le agit și mai tare, spiritele ieri pe #Socialpedia, un grup privat de Facebook deținut de Sabina Cornovac (LinkedIn) cu oameni din industria de marketing și comunicare din Romania, în urma publicării pe grupul de Facebook (pentru cei care sunteți deja membri) a unui articol despre un potențial security breach al Clubhouse.

Care este, de fapt, „breșa de securitate”?

Pe scurt, cineva cu, cel mai probabil, foarte mult timp la dispoziție și dorință de afirmare printre colegii de liceu a scrăpuit date publice ale unui număr de 1.3 milioane de conturi și a postat arhiva pe internet, fapt care a inflamat pe toată lumea care nu trece, din obișnuință, peste un titlu de știre gratuit-alarmistă.

Același lucru s-a întamplat și cu Facebook la începutul lunii. Pe repede înainte, povestea și răspunsul celor de la Facebook îl găsiți aici. La LinkedIn (tot recent) au fost extrase însă și adrese de email (nu a fost mare inginerie nici acolo, doar un tip puțin mai inteligent), ceea ce ar putea complica situația.

Despre ce date vorbim în cazul Clubhouse?

Vorbim despre majoritatea datelor unui cont: nume, username, link către fotografiile de profil, număr de followers, ori număr de conturi pe care le urmărește, data când a fost creat contul și contul care l-a recomandat, ori adresele de Twitter și Instagram, în cazul în care acestea două din urmă au fost completate de către utilizator.

Am zis majoritatea, deoarece hackerul nu s-a obosit să preia și datele din descrierea contului (Bio), ori cluburile în care sunt înscriși utilizatorii, cel mai probabil datorită faptului că volumul de date ar fi dublat cel puțin marimea acelei tabele. Ca fun fact, utilizatorii de CH folosesc secțiunea Bio pentru publicarea unei adrese de email, ori a unui număr de telefon. By choice, nu te obligă nimeni.

Ca să avem și o reprezentare vizuală, au fost strânse într-o tabelă SQL postată ulterior pe internet toate datele pe care le puteți vedea public, pe contul meu, de exemplu, @costinro – trecut printr-un tool ce folosește un API -, date pe care le găsiți, de altfel, și de care se folosesc majoritatea celor 26 de tooluri de Clubhouse publicate de către Cristi Manafu pe blogul lui.

Dacă vă uitați în sursa profilelor publice pe care le are Clubhouse (eg. view source pe profilul meu de pe site-ul oficial Clubhouse de această dată) o să observați că singura limitare pe care o are CH la crowlere este pentru web.archive. De altfel, Google a trecut deja de câteva ori bune prin Clubhouse (plus aplicațiile dezvoltate în jurul ecosistemului) și nu s-a agitat nimeni până acum.

Din punct de vedere legal am să las oamenii care se pricep mai bine ca mine să vorbească, dar care cred că vă vor oferi informațiile contra cost. 🙂 Eu am observat că sunt câteva diferențe de date între ce găsiți în API (organizat) și ce e disponibil oricui în headerele paginilor publice ale profilelor & cluburilor de pe Clubhouse.

Eu mi-am adresat însă serios întrebarea de mai jos.

Care este pericolul pentru utilizatori?

În articolul despre care vorbim, se semnalează ca pericol faptul că poți fi ținta unui atack de tip phishingor other types of social engineering attacks. Ce am subliniat cu italic este o completare făcută inutil de un jurnalist cancanist. Tot ce poți păți într-adevăr este să primești un mesaj pe Twitter sau Instagram (direct message) cu linkuri asemănătoare cu cele pe care le primim deja pe email, messenger ori instagram și pe care nu le deschidem oricum (majoritatea nici nu ajung la ele, sunt în secțiuni spam/others)

Articolul mai specifică (și mă repet -> inutil, dar, aparent, de impact pentru un target needucat și pus pe harță și datorită existenței clorului în sarea de bucătărie) și faptul că the leaked SQL database only contains Clubhouse profile information – we did not find any deeply sensitive data like credit card details or legal documents in the archive posted by the threat actor.

De ce zic că e inutil și am și marcat cu bold?

Pentru că (încă) nu există astfel de date pe Clubhouse. Dar este de ajuns să-ți faci un cont și știi toate aceste lucruri. Iar dacă rețeaua socială ar fi fost spartă cu adevărat (și l-am invitat pe Kaspersky, de exemplu, să ne spună ce înseamnă security breach, termen folosit de publicația respectivă), tot ce-ar fi putut să preia din baza de date a Clubhouse ar fi fost adresele de email.

Dar nu este cazul discuției de față. CH nu a fost spartă.

Ce a făcut liceeanul care a testat, probabil, un script de 7-8 linii în php pe secțiunile publice puse la dispoziție  cu doar două săptămâni înainte (ca să vezi coincidență!) de către cei de la Clubhouse (+ API sau câteva tools) o fac atât Google, plus toate toolurile la care am făcut referire mai sus, printr-un API, de câteva luni bune deja. E public și ăsta, dar cu siguranță nu la fel de interesant pentru presă, ori pentru un segment de cititori foarte vocali.

Diferența este dată de faptul că entitățile amintite mai sus nu pun datele într-o tabelă SQL pentru a o publica ulterior online, ci le oferă într-un mod organizat, în funcție de profilul fiecăruia: search (în cazul Google), profile mai prietenoase (Clubber), analytics etc.

Răspunsul celor de la Clubhouse?

Simplu și fără nicio surpriză pentru cine a avut curiozitatea să se intereseze de aplicații dezvoltate în jurul rețelei sociale, ori a unui API de care să se folosească pentru a dezvolta un tool în direcția asta.

Sunt un hacker dacă am acces și la alte date?

Vorbim despre mult mai multe date. 

Weekend-ul acesta mi-am definitivat echipa care mă va ajuta să construiesc un MVP românesc al unei platforme de raportare a activității roomurilor de pe Clubhouse pentru brandurile, sau agențiile de publicitate, digitale, comunicare, ori media, care își doresc să intre pe Clubhouse și au nevoie de raportări (chiar și în timp real) asupra activității evenimentelor pe care le organizează.

Aminteam mai sus de un API (vezi ce este un API) oferit de Clubhouse prin care poți trage datele amintite în acest articol fără să fie nevoie să faci risipă de resurse, ori damage, prin scraping. Și, astfel, ai acces și la alte date cum ar fi, de exemplu, cele pe care le-a ocolit scraperul de mai sus, ori interesele utilizatorilor, fapt care, pentru oamenii de marketing, este aur curat (vezi targetările de pe FB Ads).

Și am să vă dau un singur exemplu.

Un tool care poate trackui în timp real un room de pe Clubhouse și care îți listează și interesele celor din audiență, te poate ajuta să duci discuțiile (pe aceeași temă) în zone în care audiența să se simtă confortabil și să devină mult mai atentă la ce se discută pe scenă, moment în care poți plusa, implicându-i mult mai ușor în activitatea room-ului prin mecanisme native oferite de Clubhouse, folosite însă în alte scopuri (polls, gamification prin PTR etc).

Iar dacă complicăm puțin softul de tracking, îți pot spune, în timp real, daca speakerii, direcția discuției de pe scenă sau chiar tema sunt ok, urmărind alți indicatori, de data aceasta construiți, nu nativi Clubhouse. Și mă refer aici, de exemplu, la timpul mediu de ascultare, ori stickiness-ul (procentul de timp – în medie – din totalul timpului în care un room a fost deschis, pe care l-au petrecut care cei care au intrat în cameră din momentul când au intrat, până la plecare).

Despre toate aceste, însă mult mai în detaliu – sunt indicatori pe care îi studiez și cu care lucrez deja de 1 lună de zile, monitorizând până acum peste 30 de room-uri personale și, probabil, tot pe atâtea room-uri publice -, scary-detaliu pe alocuri (spoiler: pot spune și de câte ori a vorbit cineva pe scena unui eveniment pe CH, ori câte ore cumulat a fost prezent în toate roomurile mele), vom discuta într-un eveniment organizat miercuri de Cristi Manafu (LinkedIn), în cadrul FOMO Trends Talks.

Vi-l puteți adăuga în calendar de aici.

Lasă un comentariu: