Clubhouse over datalek: ‘Het is geen datalek’
Dat er gegevens van 1,3 miljoen Clubhouse-gebruikers online staan is geen probleem volgens het bedrijf. Het gaat immers om openbare gegevens. Een excuus waarmee ook Facebook en LinkedIn hun recente privacyblunders verbloemen.
Techwebsite Cybernews meldde afgelopen weekend dat het gegevens van 1,3 miljoen Clubhouse-gebruikers had gevonden. Het gaat niet om wachtwoorden of privégesprekken, maar wel om hun ID, naam, foto, profielen naar andere social media accounts en andere details.
Paul Davidson, CEO van Clubhouse, nuanceert dat het om een datalek gaat. ‘Dit is misleidend en vals. Er is geen inbreuk of hack bij Clubhouse. De data waarnaar wordt gerefereerd is allemaal publieke informatie van onze app waar iedereen via de app of een API toegang tot heeft.’
Dat klopt deels. Je kan dergelijke informatie handmatig verzamelen of als ontwikkelaar met de API zulke data automatisch vergaderen. Maar dat neemt niet weg dat Clubhouse hier laks is geweest. Idealiter zorg je er als platform immers voor dat een API niet kan misbruikt worden voor scraping (het verzamelen van openbare info). Dat kan bijvoorbeeld door het aantal automatische verzoeken te beperken.
Clubhouse is een vrij recent sociaal netwerk dat vooral steunt op audio. Gebruikers komen in ruimtes waar ze met elkaar kunnen praten. Het netwerk voorlopig enkel werkt op iPhone.
Zelfde lek, zelfde excuus
Met de verklaring doet Clubhouse hetzelfde als wat LinkedIn en Facebook de afgelopen twee weken deden nadat er data van 500 miljoen gebruikers (zowel bij LinkedIn als Facebook) online opdook. Bij LinkedIn klonk het al snel dat het om geaggregeerde data gaat die al publiek beschikbaar was. Maar ook daar is onduidelijk of het bedrijf scraping actief tegengaat.
Bij Facebook gaat het om dezelfde reactie, maar daar werd ook informatie die niet publiek was verzameld via een trucje om iemands telefoonnummer te achterhalen. Facebook beweert dat het dit pas in 2019 ontdekte, ondanks bewijs dat het in 2017 al op de hoogte werd gebracht van dergelijke praktijken. Op verdere vragen voor verduidelijking geeft Facebook momenteel geen antwoord.
Samengevat is het datalek bij Clubhouse niet van de ergste soort, maar dat het bedrijf zelf het probleem minimaliseert wijst wel op een mogelijk gebrekkig privacy- en securitybeleid. De gegevens zijn wel degelijk openbaar, maar ze massaal kunnen verzamelen maakt gebruikers van de app wel vatbaarder voor phishing of andere oplichting.
Fout opgemerkt of meer nieuws? Meld het hier