週末又看到一則新聞 Clubhouse全球6成用戶個資外洩!130萬人免費被看光 – ETtoday國際新聞 | ETtoday新聞雲,哇,是那個在中國大陸也被封鎖,收聽之前完全無法預期是能聽到好東西,還是浪費時間聽別人在喇低賽的語音社群軟體耶!我剛好也有帳號,該不會又外洩了吧?一研究之下,想不到又讓「看新聞會與事實脫節」系列多了一篇新廢文。

Clubhouse 資料外洩?全部來自個人公開檔案內容

資料來源又是跟之前介紹過的 近74萬筆台灣人臉書個資外洩!同一個論壇(本文不會放連結,不用找了),有一些國外媒體報導,如cybernews – Clubhouse data leak: 1.3 million scraped user records leaked online for free,然後台灣媒體也跟著報導,各種標題殺人大賽堪稱一絕。

那外洩的資料內容是什麼呢?論壇原 PO 的內容如下,號稱是從 Clubhouse 的 API 爬下來的一些資料,

Hello RaidForums Community,
Today I have uploaded Clubhouse Data Leak for you to download for free, thanks for reading and enjoy!

In 2021, the social media platform known as Clubhouse had its users data scrapped via their API. The result is 1.3 million user’s names, usernames, photos and social links being logged into a dataset which is downloadable below.

Compromised data: Usernames, Display Name (Usually real name), Profile Photo URLs, Social Links (Twitter and Instagram), Follower Counts, Account Creation and whom they were invited by.

這些所謂的外洩資料,一看就發現在莊孝維,例如從 Clubhouse 隨便找個人檔案點進去…

外洩的資料有 10 種資料欄位,上圖就可以得到其中的 9 項,剩下最後一個照片 URL 可以從 Share Profile 的 web 連結裡面取得 https://www.joinclubhouse.com/@froggychiu , 而 Display Name (Usually real name) ? 說得真是對極了,呱吉先生的本名當然就是呱吉,絕對不是南宮博士或***。

Clubhouse 比較有個資爭議的部分,在這次外洩事件完全沒有體現出來,
1.初期採邀請制,需要開放手機的整個通訊錄名單供 Clubhouse 利用,邀請碼會通過手機簡訊發送,……但這次沒有把使用者的手機號碼外洩出來!
2.語音溝通的方式也為Deepfake 再添一例!駭客成功用 AI 假語音騙到 24 萬美元 之類的邪惡應用,提供了不少素材,而且講話的多半是名人,想必更有利用的價值。
3.Clubhouse 背後使用中國 声网Agora 的語音相關 API 服務,在那個黨說了算的國家,數位個資的相關利用技術發展,肯定是一日千里,是別的民主人權國家難以望其項背的。

總結一下,與其說是個資外洩,不如說是有人把 Clubhouse 六成用戶的公開檔案整理成一份清單吧!可以來點沒公開的資料嗎?
即使都是公開的資訊,還是有機會可以達到不少可怕的用途,但可惜就是沒有手機號碼、每個帳號所屬的通訊錄名單、語音特徵之類的東西。Clubhouse 官方也回應那些資料都是個人公開檔案。

蕃薯藤的 1600 萬筆個資外洩,還有身分證字號

在論壇想查一下我有沒有在 Clubhouse 的外洩資料裡,卻意外在同論壇找到一篇上禮拜(2021/4/9)才發的文章,內容是提供 1600 多萬筆的「蕃薯藤」會員資料供人下載。原PO還將蕃薯藤稱為全台最大影片網站和第二大入口網站,蕃薯藤的頭銜有這麼厲害我都不知道,會員資料竟然還有這麼多筆? 該不會我小時候註冊的小蕃薯資料也又外洩了吧?

Today, I uploaded a complete leak data of Yam.com[16,325,560rows], fields: username,password,email,address,birthday,phone etc. Yam is the largest video website and the second largest portal website in Taiwan, the data was leaked in 2013, old but still useful. enjoy!

現在蕃薯藤比較知名的大概是他們家的地球圖輯隊,持續做出還不錯的主題報導。試了一下登入進去現在的蕃薯藤會員,會員資料非常單純,只剩訂閱電子報、姓名、生日、性別。當年竟然會外洩這麼多出去,以前的會員註冊欄位、會員資料必填欄位不知道究竟有哪些?哪些又有做驗證?這就毫無印象。

資料說是 2013 年外洩的,有一個 7.51GB 的 csv 檔案,裡面有許多不知道是什麼的欄位,但可辨識的至少有:
– 帳號
– 密碼(非明碼)
– 姓名、網路暱稱(兩個是分開的)
中文姓名最多的各種怡君、雅婷,和王小明,最多人用的英文名字是 goodgirl…
– 生日(有西元年份)
– 身分證字號
將近 1/4 有資料有身分證字號,超過2萬筆使用 A123456789,其中有100多組身分證字號,每組都被至少上百人使用,隨便抽了幾組,竟然都符合台灣身分證字號驗證規則。
– 手機號碼
近三成有手機號碼,但 0912345678 至少有4萬多筆,亂打的不少,但比較好奇有一些看似正常的手機號碼夾在這些亂打的手機號碼中間,093868**93和091526**56,不知道這是什麼神秘門號?
– 市話
至少 1/4 有市話號碼,但是這裡面又至少有5萬筆是各種花式亂打,各縣市的區碼+連續數字、各縣市的區碼+12345678之類的….,08-09449 有一千多筆。
– email
有超過 97% 的資料都有 email,換句話說,也有幾十萬筆資料沒有 email。有幾個 email 註冊了上千個蕃薯藤帳號,例如 free2rhy**@yahoo.com,sc1.fa**y@gmail.com,dav**123@yam.com,amigo512**@yam.com,sc01.nan**@gmail.com,yuh**k@xuite.net 不知道是有甚麼用途。
– 地址
有 24% 的資料有地址,地址欄位是存一整條,還有一個欄位存郵遞區號,可惜沒有再細分縣市、區域。有趣的是台北市各區的羅斯福路八段8號8樓至少超過3萬筆,然後有一些地址同時被幾百個帳號使用,一查發現不少是國小(例如台北縣蘆洲市長安街311號、台中南屯區黎明路一段425號),但還有一些被幾百個帳號使用的地址,桃園市中央街112號、台南市東區仁和路210號、桃園市鎮一街120號之3 四樓…完全不知道這地址當年有什麼特別之處。
– 忘記密碼的提示問題與答案(例如:你的寵物叫什麼名字?沒有)

由於資料更多更詳細,比起臉書個資外洩名單的菜市場名分析,可以做出更多的分析,甚至把地址打在地圖上觀察熱點,但也因為筆數遠遠超過一個 Excel 工作表的所能容納的100萬筆,處理上需要多費一點功夫,部份區段會有多欄位或少欄位的情況,可能是內文又有逗點導致切錯了,真要整理成可用資料的話,可能得花不少功夫。

那篇文章貼出之後過了不到一個週末,只有不到80人下載,不查還好,查了發現又上榜了,雖然當年註冊時,姓名是亂打的,email 老早就被停用了(申請撥接時的 HiNet E-mail),小時候壓根兒沒有手機,但還是有其他真實的機敏資料在上面,唉…

https://freshmoviequotes.tumblr.com/post/637350009103433728/tenet-2020

蕃薯藤、PChome、Yahoo 奇摩、亞卓市,各種線上服務都是時代的眼淚,這十幾年來收掉一堆

蕃薯藤信箱也在2015年停止服務,小蕃薯首頁已經連不上,番薯寶寶也一堆 Flash 無法顯示或圖片叉燒包,帳號也已經登不進去,另一個番薯寶寶頁面則有小蕃薯與大家告別的訊息。想到小蕃薯,就覺得心裡好像有什麼東西又開始糾結,跟 Pet Society 一樣,可能是青春流失跟美好回憶不再的感覺吧…

(影片看到最後真的心酸,明明小蕃薯也只是軟體而已)

蕃薯藤外洩的會員個資這麼多筆,而且市話、地址、身分證字號、帳號名稱(有些可能現在現在還在用)、一堆中二到爆的網路暱稱,雖然舊了點,密碼也不知道是用啥規則加密的,但論在地化程度比 Facebook 或 Clubhouse 的更有料多了,但竟然沒有半家媒體報導蕃薯藤個資外洩這回事,蕃薯藤今年的新聞只有微軟廣編他家系統 IT 架構上 Azure 雲端,還有跟奇摩知識+即將關閉的新聞,一起被提到而已。

為什麼沒人報導呢?是因為記者太年輕,不知道蕃薯藤是什麼嗎?
是記者覺得蕃薯藤的使用者都已經作古,沒有新聞報導價值了嗎?(頂多也才三十多歲吧)
是因為蕃薯藤會員個資外洩事件沒有外媒報導,不知道要去哪抄新聞?
還是因為記者與記者主管還有當年養小蕃薯的回憶,一間讓大家擁有一段美好童年時光的公司,不忍再去傷害牠…