Clubhouse, una aplicación de redes sociales en iPhone para interactuar exclusivamente mediante notas de audio, confirmó que el fin de semana pasado sufrió un incidente de filtración de datos. Esta plataforma permite a los usuarios unirse a salas de chat de audio (públicas o privadas); las conversaciones no son almacenadas, por lo que muchos usuarios se muestran entusiastas sobre este servicio.
David Thiel, director de tecnología del Observatorio de Internet de la Universidad de Stanford reportó el incidente, además de mencionar que este incidente no fue producto de un ciberataque. Sobre la causa de este incidente, el experto cree que todo podría deberse a que un usuario decidió violar los términos de servicio de Clubhouse.
“Esta es una condición conocida como ‘derrame de información’, y es diferente a las brechas de datos en el sentido de que estos incidentes son provocados de forma deliberada a través de un ciberataque o técnica de ingeniería social; el derrame de información se produce cuando los datos confidenciales son liberados en un entorno no autorizado para acceder a esta información”, menciona el experto.
Thiel considera que el incidente se originó debido a que un usuario descubrió que era posible estar conectado en múltiples salas de chat de forma simultánea, generando la oportunidad de conectar una API de Clubhouse a un sitio web externo y compartir su inicio de sesión de forma remota con cualquier usuario en línea: “En realidad la creación de plataformas de terceros para extraer datos de un servicio es algo muy común. Por ejemplo, todas las herramientas creadas para extraer información de Twitter.”
Apenas hace un par de semanas los desarrolladores de Clubhouse afirmaban que la información transmitida a través de esta plataforma no podía ser comprometida por actores de amenazas patrocinados por estados nacionales, declaración emitida en respuesta a un reporte del Observatorio de Internet. En este reporte se detallan múltiples fallas de seguridad detectadas en Clubhouse cuya explotación permitiría la filtración de detalles confidenciales en texto sin formato.
Los expertos que elaboraron este reporte también consideraban que grupos de hacking avanzados como los patrocinados por el gobierno de China pudieran acceder a los archivos de audio en los servidores de Clubhouse ya que su infraestructura backend es desarrollada por Agora, una compañía que opera tanto en Estados Unidos como en China.
Este es un reporte serio pero no es la primera ocasión en que se reporta una condición similar, ya que en el pasado se han detallado algunos mecanismos para interceptar información compartida a través de plataformas similares. Finalmente, Thiel atribuye los problemas a que Clubhouse es un servicio relativamente joven y propenso a dejar lagunas explotables por usuarios con diversas motivaciones: “Esta plataforma debe asegurarse de cumplir con lo que promete, ya que ha quedado demostrado que las conversaciones no son completamente privadas.”
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.