音声SNS「Clubhouse」から130万件の個人情報が漏えいしたとの報道、ClubhouseのCEOは「元から公開されているデータ」と報道を否定

招待制のiOS向け音声SNSアプリClubhouseについて、「ユーザーのIDや氏名などを含む個人情報が130万件漏えいした」と報道されています。これに対し、Clubhouse側は「漏えいしたとされているのは元から公開されているデータである」として、報道を否定しました。

Clubhouse data leak: 1.3 million scraped user records leaked online for free | CyberNews
https://cybernews.com/security/clubhouse-data-leak-1-3-million-user-records-leaked-for-free-online/

Clubhouse CEO says user data was not leaked, contrary to reports - The Verge
https://www.theverge.com/2021/4/11/22378302/personal-information-1-million-clubhouse-users-leaked-privacy-security

Data of more than 1 million Clubhouse users leaked online: Report | HT Tech
https://tech.hindustantimes.com/tech/news/data-of-more-than-1-million-clubhouse-users-leaked-online-report-71618109381850.html

IT系ニュースサイト・CyberNewsは2021年4月10日に、「Clubhouseから抜き取られたデータ130万件を含むSQLのデータベースが無料で公開されていた」と報道しました。伝えられるところによると、Clubhouseから抜き出されたデータには、ユーザーID・氏名・写真のURL・ユーザー名・TwitterとInstagramのID・フォロワー数・フォロー数・アカウント作成日・招待したユーザーのプロフィール名といった情報が含まれていたとのことです。

これに対し、ClubhouseはTwitterに「これは誤解を招く表現で、虚偽です。Clubhouseは侵入またはハッキングを受けていません。ここで言及されているデータは、アプリで公開されているプロフィール情報であり、誰もがアプリからAPIを通じてアクセスできるものです」と投稿して報道を否定しました。

また、Clubhouseのポール・デイビソンCEOも海外メディア・The Vergeに対して「(Clubhouseからデータが流出したという報道は)誤解を招く誤った記事であり、クリックベイト記事だと言えます。Clubhouseがハッキングされたわけではなく、漏えいしたとされているデータも当社のアプリで公開されているプロフィール情報です。従って、Clubhouseからデータが漏えいしたかどうかという質問への答えは明確に『いいえ』です」と回答しました。

こうしたClubhouse側の説明に対し、CyberNewsは「確かに、流出したSQLデータベースには、クレジットカード情報や法的文書などの機密性の高いデータは含まれていませんでした。しかし、公開されているプロフィール情報だとしても、誰もが大規模に情報を収集できるようになっているClubhouseのプライバシー保護の姿勢には疑問が残ります」と指摘。Clubhouseから流出したデータとTwitterなど他のSNSのデータを組み合わせたハッキングや、流出済みのIDとパスワードで手当たり次第に攻撃を行う総当たり攻撃が行われる危険性があるとの見方を示しました。

Twitterには、この件に対して「誰かがClubhouseのプライベートAPIを使って、ユーザーIDを1から順番に検索してデータを抽出しただけだとしか思えません。技術的な観点からは何ら見るべき所のないものだと言えます」との意見や……

「APIのデータが公開されただけだからといって、プライバシー侵害にあたらないとまでは言い切れません」との意見が投稿されていました。