Clubhouse, applicazione su social networking basata sulla voce lanciata ad aprile 2020, sembra essere stata notata in Italia solo in questi giorni, come possiamo osservare dalla quantità di post Facebook di persone che ne parlano, offrono o cercano un invito o anche più semplicemente dalla tendenza di Google Trends che mostra un picco proprio a fine gennaio.

Come ogni nuova applicazione, portale o piattaforma di social networking, le implicazioni sull’OSINT possono essere interessanti: riporteremo qui alcuni elementi utili per le analisi basate su tecniche di Open Source Intelligence ricavati da un primo nostro utilizzo diretto di Clubhouse.

I profili sono legati a utenze cellulari

Almeno in questa fase iniziale che dura in realtà da mesi, per creare ed attivare un profilo utente è necessario essere invitati da un utente già presente che ha il nostro numero di cellulare in rubrica su cui riceveremo un SMS. Il primo elemento utile ai fini investigativi è che quindi il profilo ClubHouse è legato ad un numero telefonico cellulare abitualmente utilizzato dall'utente. Al momento quindi, conoscendo il numero di cellulare di uno o più soggetti da controllare è possibile risalire, inserendone il numero tra i propri contatti della propria rubrica, al loro account e da lì al loro profilo e rete sociale presenti in ClubHouse.

Il meccanismo degli inviti o "nominated badge"

Altro aspetto interessante ai fini investigativi su Clubhouse è che nel profilo utente viene riportato pubblicamente quello chi lo ha invitato, nella voce che Clubhouse definisce “nominated badge”. Avendo a disposizione soltanto due inviti, utilizzarne uno per un proprio contatto rappresenta comunque un elemento di fiducia o quantomeno di conoscenza reciproca, dato che s’invitano tendenzialmente numeri presenti nella propria rubrica.

Immaginiamo ad esempio lo scenario di un numero di cui stiamo ricercando il proprietario, numero di cui non troviamo nulla online tramite tecniche di OSINT. Grazie a Clubhouse potrebbe essere possibile conoscere sia il suo profilo attualmente utilizzato da cui ricavare nomi, alias ecc. con cui avviare altre attività Osint, sia il soggetto che lo ha invitato in Clubhouse che rappresenta una rilevante fonte d’informazione da aggregare agli altri elementi in nostro possesso.

Per ora non è possibile rimuovere l’indicazione su chi ci ha invitato su Clubhouse, eliminando quindi il “nominated badge”. Nella knowledge base Clubhouse viene precisato che da policy, in generale Clubhouse non rimuove il “nominated badge” che indica chi ha invitato un certo profilo sulla piattaforma, se non in rare situazioni nelle quali potrebbero essere concesso (“As a policy we generally do not remove the nominated by badge, as it’s been a positive aspect in the community til date. There are very rare situations in which we may consider doing this.”).

Ricostruiamo la catena degli inviti

È altrettanto interessante provare a ricostruire la catena di riferimento degli inviti Clubhouse, semplicemente partendo dal profilo di Studio e cliccando, a catena sul campo “nominated by” di ogni profilo "parent" che indica in sostanza chi ha invitato il soggetto proprietario del profilo.

Proviamo a fare un test con il profilo di un rapper americano: per prima cosa verifichiamo l’attendibilità del profilo Clubhouse (sono presenti diversi nickname “falsi”) osservando come lo userid sia legato all’account Twitter originale del rapper. Questo è un altro elemento di notevole interesse per l’OSINT dato che per legare un profilo Twitter ad un profilo Clubhouse ne viene richiesta l'autenticazione che può essere fatta solo dal legittimo proprietario.

Una volta individuato il profilo autentico, eventualmente anche osservandone numero di follower, following e gruppi a cui appartiene, si può procedere a ritroso seguendo gli inviti dei "nominated badge" proseguendo virtualmente fino all’account che è stato invitato per primo. Va tenuto presente che alcuni account (come ad esempio quelli di personaggi particolarmente famosi o di alcuni tra i primi a essersi attivati nell'aprile 2020) possono non avere il nome del presentatore, rompendo così la catena d’inviti utile per l’OSINT.

Va tenuto a mente per le attività OSINT su ClubHouse il fatto che è possibile registrare nella piattaforma un proprio alias anche senza aver ricevuto inviti. Solo l'intervento di un nostro contatto presente in rubrica dotato di un account Clubhouse ed almeno un invito, dopo aver ricevuto una notifica dal sistema, potrà toglierci dalla lista d’attesa e permetterci di attivare ed utilizzare l’account.

Le informazioni sulle rubriche dei profili

Altro ottimo spunto per l’OSINT fornito da Clubhouse è il fatto che, accedendo alla pagina degli inviti è possibile visualizzare, per ogni numero inserito nella rubrica del telefono, quanti utenti sono già presenti su Clubhouse tra quelli che hanno registrato il suo numero di cellulare tra i contatti. Sembrerà paradossale, ma il conteggio non riguarda i nostri contatti presenti su Clubhouse, bensì i suoi: se per una utenza vediamo “150 friends on Clubhouse” significa che quell’utente è nella rubrica di 150 soggetti iscritti su Clubhouse, indipendentemente sia dal fatto che questi soggetti siano amici nostri o meno sia indipendentemente dal fatto che lui si sia già registrato (anzi, una volta registrato, questa informazione non sarà più disponibile).

A riprova di questa tesi, attivando Clubhouse vedo nella finestra degli inviti come soggetti con il maggior numero di amici su Clubhouse le numerazioni fisse per il blocco delle carte di credito (!) e quelle dei centri di assistenza degli operatori telefonici, numeri che in tanti tengono memorizzati nella propria rubrica per situazioni di emergenza (i primi) o perché in genere già inseriti sulla SIM (i secondi). Osserviamo ad esempio il numero di “amici” dell’utenza fissa di un numero di assistenza che, ovviamente, non può essere registrato su Clubhouse ma che invece risulta essere presente nella rubrica di 109 utenti che sono, a loro volta, iscritti su Clubhouse.

Possiamo affermare che, il numero di “friends on Clubhouse” indica, la “popolarità” del contatto fra gli utenti di Clubhouse: cifre alte indicano soggetti popolari o comunque le cui utenze sono memorizzate su molte rubriche telefoniche, cifre basse indicano soggetti con pochi amici presenti su Clubhouse, il numero “1” indica che noi siamo gli unici contatti del soggetto a essere presenti su Clubhouse. Per verificare queste risultanze, basta inserire in rubrica un numero qualsiasi e osservare che avrà come popolarità “1”. Va precisato che questo valore sarà visibile sono fino a quando l’utente si registra su Clubhouse. Una volta legato il numero ad un account attivo, verrà indicato solo che l'utente ha un profilo utente e verrà rimosso il numero di utenti che hanno tale numero in rubrica.

Consideriamo poi che in ClubHouse si accede solo tramite login con numero di telefono e SMS inviato all’utenza corrispondente: non c’è password come già accade in altre servizi come Medium, questo è un ulteriore elemento di rilievo.

Viene richiesto anche un indirizzo email

Dopo aver creato un account Clubhouse viene mostrata una icona che invita (senza che vi sia obbligo di farlo) a inserire una mail, ma solo per eventuali fini di verifica (“secure your account with a second way to prove who you are”). Verrà in tal caso inviato un codice alla mail con un link per confermare l’effettivo possesso di tale email.

Nella sezione “My Account & Profile” della knowledge base Clubhouse viene precisato che questo indirizzo di posta in realtà non serva come secondo fattore di autenticazione (in effetti non c’è modo d’inserirlo, per accedere) ma piuttosto per verificare il possesso di un account in caso di richieste legate all’account (“This e-mail will not be publicly visible, but we may use it to confirm ownership of your account when account-related requests are submitted, so it should be an account that you actively check”)

Nel momento in cui ci si registra su Clubhouse viene inviata una notifica a chi ha il nostro numero nei suoi contatti, anche se non è nei nostri contatti o non lo sentiamo da anni. Considerato che Clubhouse richiede l’inserimento di un nome e un cognome che viene poi pubblicato, è facile che al numero di telefono venga associato il vero contatto, in questo modo si aggiunge un ulteriore tassello ai metodi per capire qual è l’identità di un utilizzatore di un’utenza telefonica.

Il sito web della piattaforma

Ultima considerazione per l’OSINT su Clubhouse riguarda ciò che viene pubblicato sul sito JoinClubHouse.com: con un semplice “site:” osserviamo diverse migliaia di risultati, si tratta però sostanzialmente di eventi, esclusi quelli con un “-event” rimane poco, non vengono quindi pubblicati sul sito o quantomeno indicizzati i profili degli utenti.

Non dimentichiamo poi un ultimo ma essenziale elemento per fare OSINT con l’App Clubhouse: Clubhouse a oggi è disponibile solo per iPhone, quindi – fino a quando l’App non verrà resa disponibile per Android – se un utente ha un profilo Clubhouse possiede un iPhone.

Ai fini di OSINT sarebbe interessante tracciare, fino a quando Club House non sarà disponibile per altre piattaforme, gli utenti che si sono man mano registrati, mappando così in qualche modo coloro che hanno un iPhone, informazione utile in diversi contesti: profilazione, preparazione di un attacco o infezione, phishing, ecc..

Conclusioni

Ricapitolando, gli elementi di rilievo ricavabili da un profilo clubhouse, a partire sia dal numero di telefono (da cui si ottiene il nickname) sia dal solo nickname o da una ricerca per keyword sono:

• alias
• foto di profilo (se l’utente non ha un profilo, viene utilizzata quella dei contatti Google)
• follower (si può vedere la lista)
• following (si può vedere la lista)
• gruppi di appartenenza
• gli account Twitter e Instagram del soggetto legati al profilo (azione che viene suggerita durante l’iscrizione a ClubHouse anche per importarne in automatico la configurazione)
• il possesso di iPhone e/o iPad

Se vi siete preoccupati per la vostra privacy e per eventuali implicazioni riguardanti il Doxing, che può avvenire sfruttando i dati contenuti nel vostro profilo ClubHouse, e state pensando a come limitare le interazioni tra l’App e i vostri dati resi pubblici, le possibilità sono davvero poche anzi nulle, se non rimuoversi da Clubhouse.

Anche in questo caso, l’App non facilita la rimozione di un account dato che ad oggi non esiste una funzionalità di chiusura dell’account Clubhouse all’interno dell’App o sul sito web ma, come indicato nella Knowledge Base, è necessario contattare via email il supporto Clubhouse all’indirizzo support@joinclubhouse.com scrivendo direttamente dall'email inserita nel proprio account. Dato che non sembra obbligatorio inserire un account email, la domanda è come si possa rimuovere un account Clubhouse se non si ha più accesso alla propria sim (es. cambio numero, frode SIM swap, ecc.).

In chiusura, un interessante approfondimento per chi vuole approfondire la questione della privacy su Clubhouse riguarda l'attenzione che il Garante per la Protezione dei Dati di Amburgo ha avuto per l'App e alcuni punti oscuri sulla conformità al GDPR della piattaforma ripresi da alcune testate giornalistiche, che si trovano ben riassunti dall'amica Carola Frediani nella sua newsletter settimanale Guerre di Rete.