Una grave fuga di dati ha coinvolto Huddle01, app per videoconferenze basata su tecnologia WebRTC decentralizzata, sviluppata da Graphene01 Labs. Secondo il team di ricerca di Cybernews, l’app avrebbe esposto pubblicamente informazioni sensibili come email, indirizzi IP, portafogli crypto e dati sulle attività degli utenti, attraverso un server Kafka Broker privo di autenticazione e cifratura.
Server non protetto, 621.000 log accessibili
Gli analisti hanno scoperto un’istanza pubblicamente accessibile di Kafka Broker, sistema di streaming di dati in tempo reale, che trasmetteva log aggiornati in diretta senza alcuna forma di protezione. Il server conteneva oltre 621.000 registrazioni risalenti agli ultimi tredici giorni, e restava costantemente aggiornato con le attività della piattaforma Huddle01.
Tra i dati visibili figuravano:
nomi utente, talvolta reali, indirizzi email, indirizzi di wallet crypto (Bitcoin, Ethereum e altre blockchain), e dettagli delle sessioni come orario, durata, Paese e partecipanti alle chiamate. Tutte informazioni che, se combinate, possono consentire la deanonimizzazione dei titolari dei wallet e la creazione di mappe relazionali tra utenti. Secondo Cybernews, “vi è un’ironia evidente nel fatto che una piattaforma che promuove decentralizzazione e privacy finisca per associare nomi e contatti agli indirizzi di portafogli digitali”.
Nessuna risposta da parte dell’azienda
Nonostante la segnalazione responsabile inviata da Cybernews, Graphene01 Labs non ha risposto né alla prima comunicazione né ai successivi tentativi di contatto. Dopo un mese, il server risultava ancora accessibile pubblicamente, e non è noto se terze parti abbiano già scaricato o utilizzato i dati.
L’app Huddle01 conta oltre 100.000 utenti dichiarati ed è disponibile sia sul Google Play Store (più di 50.000 download) che sull’App Store di Apple (media di 4,7 stelle su 51 recensioni). La descrizione ufficiale promette videochiamate “più sicure ed efficienti”, ma la realtà sembra smentire questa promessa.
Wallet crypto a rischio e tracciamento degli utenti
La combinazione di dati identificativi e indirizzi di wallet rende possibili attacchi mirati come phishing personalizzato, furti di fondi o campagne di social engineering. I ricercatori di Cybernews avvertono che “un attore malevolo potrebbe restare collegato all’istanza di Kafka Broker per mesi, raccogliendo in tempo reale comportamenti e relazioni degli utenti”. Il paradosso è che una piattaforma nata per garantire comunicazioni decentralizzate ha finito per affidarsi a una struttura centralizzata e insicura, esponendo in chiaro informazioni che avrebbero dovuto restare private.
Raccomandazioni per gli utenti
Gli esperti invitano gli utenti di Huddle01 a creare nuovi wallet crypto e cessare l’uso degli indirizzi potenzialmente compromessi. In caso di sospetta esposizione, è consigliabile liquidare i fondi e monitorare la presenza di eventuali truffe via email o social network. Le aziende, invece, dovrebbero assicurarsi che ogni infrastruttura Kafka Broker sia configurata correttamente, con autenticazione, cifratura e whitelisting IP. “Le conseguenze di un’esposizione simile possono essere legali, reputazionali e finanziarie,” spiegano i ricercatori. “La sicurezza non è un’opzione, è una responsabilità operativa.”
