6P by xguru 6달전 | favorite | 댓글 2개

- 사용자 정보를 담은 SQL 파일이 공개
ㅤ→ 비밀번호 및 이메일 계정등 민감한 정보는 없음
ㅤ→ User ID, 이름, Photo URL, Username, 트위터/인스타그램 ID, 팔로워 숫자, 팔로잉 숫자, 계정 생성 날짜, 초대한 사람
* 클럽하우스 측에서는 해킹당한게 아니고, API를 통해서 접근 가능한 공개 정보라고 공식 답변
- 그러나, 아마도 소셜 엔지니어링 공격등에 사용가능할 것이니 주의 요망

reedids 6달전  [-]

🤦‍♀️

xguru 6달전  [-]

https://news.ycombinator.com/item?id=26768299
해당 이슈에 대해서 2월에 클럽하우스에 리포트한 유저가 아무 답변도 받지 못했다고.
- MITM으로 알아낸 토큰만 있으면 전체 퍼블릭 사용자 프로필을 무제한 쿼리 할 수 있음
- 검색 결과의 갯수 제한 및 Rate Limiting 정도라도 해주면 막을수 있는데 전혀 안하고 있는듯