Ci sarà davvero un’asta con 3,8 miliardi di numeri di telefono collegati a Clubhouse?

Dopo che il ricercatore in cybersecurity Marc Ruef ha diffuso su Twitter la notizia di una possibile e massiccia fuga di dati personali (nella fattispecie, numeri di telefono) collegati a Clubhouse, si è letteralmente diffuso il panico tra gli utenti e la notizia ha fatto immediatamente il giro del mondo. Ma cosa c’è di vero? Possiamo affermare con certezza che 3,8 miliardi di numeri di telefono – magari attraverso un’operazione di scraping (ovvero di “raschiatura” a partire dalle informazioni pubbliche che ognuno di noi accetta di condividere nel momento in cui si iscrive a qualsiasi tipo di servizio online) – stanno per essere messi all’asta ed esposti così alla mercé di chiunque?

LEGGI ANCHE > Te lo ricordi Clubhouse? Ora non servono gli inviti, superata dopo un anno la versione beta

Numeri di telefono su Clubhouse all’asta sul dark web?

Innanzitutto, partiamo dalla denuncia. Marc Ruef ha scovato un forum sulla Darknet in cui si millanta la proprietà di 3,8 miliardi di numeri di telefono provenienti dai database di Clubhouse. L’autore del post sul forum ha dato appuntamento al 4 settembre 2021 (in occasione del 23° anniversario di Google) per un’asta, chiedendo agli utenti di fare la propria manifestazione di interesse con un commento al post, al quale si farà riferimento per l’invio del link che permetterà di partecipare all’asta stessa. Sembra, dunque, un appuntamento in piena regola, con tutte le conseguenze del caso. Ma ci sono dei sospetti.

Full phone number database of #Clubhouse is up for sale on the #Darknet. It contains 3.8 billion phone numbers. These are not just members but also people in contact lists that were synced. Chances are high that you are listed even if you haven’t had a Clubhouse login. pic.twitter.com/PfAkUJ0BL5

— Marc Ruef (@mruef) July 23, 2021

Il primo consiste nel numero elevato di contatti messi all’asta. Si tratta di un numero davvero sproporzionato rispetto ai 10 milioni di utenti che Clubhouse, nel suo ultimo statement in cui annunciava la fine dell’esperienza della versione beta e lo stop della modalità di partecipazione su invito, ha dichiarato di avere. Del resto, l’indicazione può anche essere piuttosto peregrina, dal momento che l’hacker che ha messo i numeri all’asta sostiene che Clubhouse abbia accesso anche ai contatti della rubrica dei suoi iscritti, senza che i contatti stessi ne siano a conoscenza. Al di là della veridicità dell’asta o meno, su questo aspetto Clubhouse dovrebbe comunque fare chiarezza, per capire se effettivamente nei suoi database ci sono dati personali di utenti che non hanno mai impiegato l’app.

L’elenco di contatti potrebbe essere benissimo una sorta di gioco logico con la combinazione di stringhe da dieci cifre (tante quante sono quelle di un numero di telefono) e – di conseguenza – l’asta potrebbe essere una clamorosa truffa ai danni degli utenti. Del resto, ne sembrano convinti anche i gestori del forum sul dark web che ha ospitato l’annuncio: il post con le indicazioni per l’asta è stato classificato come Bad Sample, il che significa che potrebbe contenere poche informazioni o informazioni completamente errate.

In particolare, sembra che i numeri di telefono che verranno messi all’asta siano delle stringhe numeriche generate automaticamente sulla base di un fac-simile di utenze telefoniche che provengono dal Giappone. E, secondo alcuni esperti consultati dal portale specializzato OpIndia, l’hacker che ha annunciato l’asta non sarebbe nuovo a falsi tentativi di vendita, basati su database ad accesso pubblico o generati automaticamente. Insomma, non c’è alcun Clubhouse Leak, anche se la notizia sui contatti di terzi che potrebbero essere in possesso della società che gestisce l’applicazione fa comunque un certo effetto. E sarebbe opportuno un chiarimento.