Quelques jours seulement après la mise en vente des données personnelles de plus d'un milliard d'utilisateurs de Facebook et de LinkedIn, le réseau social Clubhouse a également été touché, rapporte un article de Cybernews.
Des inconnus ont partagé sur un forum de pirates informatiques une base de données contenant les données de 1,3 million d'utilisateurs de Clubhouse. Tout est accessible gratuitement.
Lancée en avril 2020, l'application de chat compterait désormais 10 millions d'utilisateurs actifs hebdomadaires.
Il s'agit de la dernière grande affaire de «web scraping», du nom de la technique désignant l'extraction automatisée d'informations disponibles en ligne. Cela a été possible grâce à une interface de programmation (API) de l'entreprise concernée et n'a nécessité aucune intrusion illégale ou piratage d'un système tiers. N'importe qui pouvait accéder librement aux données non protégées des utilisateurs, stockées dans une base de données.
This is misleading and false. Clubhouse has not been breached or hacked. The data referred to is all public profile information from our app, which anyone can access via the app or our API. https://t.co/I1OfPyc0Bo
— Clubhouse (@joinClubhouse) April 11, 2021
La réponse de Clubhouse a été critiquée sur Twitter. Du fait que l'interface n'est pas documentée publiquement et n'est pas protégée en cas de piratage par des tiers.
La base de données en question contient un grand nombre d'informations personnelles appartenant à 1,3 million d'utilisateurs. Elles comprennent:
Le numéro de portable des utilisateurs ne semble pas faire partie des informations divulguées.
Depuis avril 2020, on peut s'inscrire à Clubhouse seulement sur invitation. Et il n'existe pour l'instant qu'une version pour iPhone de l'application, la version Android étant toujours en cours de développement.
L'expert suisse en sécurité informatique Marc Ruef a examiné les données divulguées. Il y aurait beaucoup d'utilisateurs manquants, a-t-il écrit sur Twitter:
I am analyzing the #Clubhouse leak. Even though there is a lot of data, it is not that interesting. And it looks like there are many users missing. pic.twitter.com/rl6ex5yvp2
— Marc Ruef (@mruef) April 12, 2021
Les informations piratées peuvent être utilisées par des criminels de diverses manières contre les utilisateurs de Clubhouse.
Il est notamment possible de mener des attaques ciblées de type «phishing» ou d'autres types d'attaques d'ingénierie sociale. Ces attaques poussent les victimes à révéler les données de leur carte de crédit ou leurs informations de connexion en leur présentant des faits erronés.
Aucun détail de carte de crédit ou document à valeur légale n'a été trouvé dans les dossiers. Néanmoins, un cybercriminel compétent pourrait faire de réels dégâts avec le seul nom du profil et les connexions à d'autres profils de médias sociaux.
Pour le savoir, vous pouvez lancer une requête sur le Personal Data Leak Checker, un outil en ligne géré par Cybernews. Vous saisissez votre adresse électronique (ou votre numéro de téléphone portable), qui est ensuite transmise sous forme cryptée au serveur de Cybernews et comparée à une base de données. Plus de 15 milliards d'entrées y seraient déjà stockées en toute sécurité.
Il est important de se rappeler les mesures de sécurité appliquées habituellement dans le cadre des services en ligne que voici: