Clubhouse 1,3 mln danych data scraping

Dane 1,3 mln użytkowników Clubhouse do pobrania? To nie wyciek, to data scraping

W weekend pojawiły się informacje o kolejnym “wycieku”. Tym razem hakerzy opublikowali bazę danych z ponad 1,3 mln rekordów z Clubhouse. Czy tzw. data scraping to nowy trend wśród cyberprzestępców, chcących zarobić na sprzedaży danych?

Niedawno świat obiegła informacja o wystawieniu na sprzedaż bazy z ponad 500 milionami rekordów z LinkedIn. Jeszcze wcześniej olbrzymie kontrowersje wzbudziło pół miliarda profili z Facebooka. Teraz do grona “oscrapowanych” serwisów dołącza Clubhouse – jedno z najszybciej rozwijających się mediów społecznościowych.

Clubhouse baza danych do pobrania za darmo

Baza danych z użytkownikami Clubhouse, za darmo

Hakerskie fora to istna kopalnia ciekawych treści. Nie bez powodu dość szybko wychwycono temat, w którym świeży użytkownik wrzucił link do bazy danych SQL, zawierającej 1,3 miliona rekordów. Bazę można pobrać za darmo, a w niej znajdziemy następujące kolumny:

  • User ID
  • Imię
  • Link do zdjęcia
  • Nazwa użytkownika
  • Pseudonim na Twitterze
  • Pseudonim na Instagramie
  • Liczba obserwujących
  • Liczba obserwowanych
  • Data utworzenia konta
  • Nazwa użytkownika, który zaprosił daną osobę

Clubhouse baza danych rekordy

Od razu zauważyć można, że nie mamy do czynienia z wyciekiem wrażliwych danych. Wszystkie te informacje są ogólnodostępne i, podobnie jak w przypadku LinkedIna, zostały po prostu wyciągnięte bezpośrednio z API oraz zagregowane. To jednak bardzo ciekawa baza, którą do swoich działań wykorzystać mogą rozmaite osoby.

– Wraz z rozwojem narzędzi do pozyskiwania danych szeroko rozumianych jako Big Data, powszechne stały się również wszelkiego rodzaju web scrapery oraz data scrapery. Przygotowanie takiego oprogramowania do pracy nie wymaga znajomości zaawansowanych metod programowania. Proste web i data scrapery mogą zawierać zaledwie kilka linii kodu napisanych np. w języku Python – mówi w rozmowie z Geekiem doktor Jacek Maślankowski z Uniwersytetu Gdańskiego.

Clubhouse: to nie jest wyciek

Reakcja serwisu była natychmiastowa – 11 kwietnia na swoich profilach w mediach społecznościowych poinformowano, że do żadnego wycieku danych nie wyszło. Wszystkie informacje zgromadzone w bazie SQL są dostępne dla wszystkich z wykorzystaniem API Clubhouse.

API, jak ostatnio wyniknęło z wyroku Sądu Najwyższego w sprawie Google oraz Oracle, rządzi się własnymi prawami. Niemniej możliwość scrapowania i agregowania tak olbrzymiej ilości danych przez każdego użytkownika może wzbudzać pewne obawy.

– O ile samo pobieranie danych i przetwarzanie na własny użytek, z wyłączeniem danych osobowych, nie powinno stanowić naruszenia prawa, to jednak sprzedaż tego typu danych jednostkowych zdecydowanie nie powinna mieć miejsca, gdyż narusza interesy producenta bazy danych, czyli właściciela strony internetowej. Warto podkreślić, że dane na stronie internetowej podlegają ochronie zgodnie z ustawą o ochronie baz danych. Dotychczasowe rozstrzygnięcia sporów prawnych dotyczących data scrapingu wskazują na taki sposób traktowania danych zawartych na stronach internetowych – komentuje dr Jacek Maślankowski.

Data scraping – nowy trend wśród cyberprzestępców?

Data scraping wbrew pozorom daje olbrzymie pole dla hakerów. Chociaż przy tego typu operacjach nie znajdziemy baz danych ze zdeszyfrowanymi hasłami, e-mailami, numerami kart kredytowych czy PESEL, takie zagregowane dane to nadal cenne źródło informacji. 

– Jeżeli rzeczywiście zgodnie z wyjaśnieniem właściciela Clubhouse, wszystkie te dane były publicznie dostępne, to trudno mówić o hackingu. Wystarczy minimalna znajomość programowania, aby takie dane znalazły się u nas na dysku. Jak wspomniałem, metoda web czy data scrapingu nie jest skomplikowana, stąd powszechna w użytkowaniu, a możliwości zarobkowania na cudzych bazach danych są duże, chociaż nielegalne. Stąd należy spodziewać się pozwów sądowych ze strony właścicieli baz danych scrapowanych i udostępnianych w postaci danych jednostkowych – tłumaczy dr Jacek Maślankowski.

Web Scraping przykłady
Web Scraping pozwala nie tylko na ekstrakcję danych z ogólnodostępnych API, ale także na ściąganie treści bezpośrednio ze stron internetowych

Z wykorzystaniem tych danych można przeprowadzać chociażby ataki phishingowe, wycelowane w konkretnych użytkowników. Nic nie stoi również na przeszkodzie, aby tworzyć siatki powiązań z wykorzystaniem danych z innych wycieków. Stworzone w ten sposób rozszerzone bazy mogą umożliwić jeszcze łatwiejsze przeprowadzenie wycelowanego ataku, wykorzystującego rozmaite sztuczki socjotechniczne.

Publicznie dostępne API, umożliwiające scrapowanie olbrzymich ilości danych, stanowi łakomy kąsek. Clubhouse to kolejna firma, która padła ofiarą scrapowania danych na masową skalę, chociaż sama operacja z pewnością nie może być określana mianem pełnoprawnego “wycieku”. Czy pozyskiwanie danych w ten sposób to nowy trend wśród cyberprzestępców?

– Zdecydowanie jest to nowy trend, który można zaobserwować w wielu dziedzinach gospodarki, na przykład w celu poszukiwania klientów, badania rynku i tym podobnych. Można się spodziewać, że liczba tego rodzaju incydentów będzie wzrastać. Najważniejsze jest jednak pytanie, jakie będą rozstrzygnięcia sporów prawnych w różnych krajach w przypadku, gdy nastąpi jawne naruszenie interesów producenta danych. Od tego zależy przyszłość tego rodzaju działań podejmowanych przez różne organizacje. Wszyscy znamy wynik sporu LinkedIn z firmą pobierającą dane z tego medium społecznościowego. Jednak wynik ten w żaden sposób nie przesądza o kolejnych rozstrzygnięciach sądów – podsumowuje dr Jacek Maślankowski.


Zdjęcie główne artykułu pochodzi z Unsplash. Źródło: CyberNews

Zapraszamy do dyskusji

Patronujemy

 
 
More Stories
React Native w różnych środowiskach. Prasówka Technologiczna: 28.01-01.02.2019