L’escalade du nombre de vols de données ces derniers mois est forcément inquiétante. Les criminels peuvent utiliser les données volées pour commettre des infractions plus graves, comme l’accès à vos comptes bancaires en ligne ou à une carte de crédit. Après Facebook et LinkedIn, il semble que l’application de réseau social Clubhouse a connu une fuite des données de ses utilisateurs la semaine dernière. 1,3 million d'enregistrements d'utilisateurs ont été divulgués gratuitement sur un forum de pirates populaire. Seulement toutes les informations concernées par la fuite semblent être des données accessibles au public, ce qui a emmené une chercheuse en sécurité à conclure à un "scraping" de données des utilisateurs du réseau social, au lieu d’une "fuite de données".
La nouvelle plateforme de réseau social aurait été frappée par le sort de fuite de données la semaine dernière, avec une base de données SQL contenant plus d’un million d'enregistrements d'utilisateurs de Clubhouse divulgués gratuitement sur un forum de pirates populaire. Selon un premier rapport sur cette prétendue fuite de données, les informations exposées pourraient permettre à des acteurs malveillants de cibler les utilisateurs par le biais de programmes de phishing ou d'usurpation d'identité. Les données impliquées comprennent des noms, des profils de médias sociaux et d'autres détails. Il s'agit de la dernière en date d'une série de violations de données.
L'appli de médias sociaux sur invitation seulement, lancée en mars 2020, est devenue une plateforme populaire et a attiré des millions d'utilisateurs. Sa communauté audio permet aux utilisateurs de se brancher sur des conversations, ou "salles", sur divers sujets. L'entreprise serait en pourparlers pour un tour de financement qui la valorise à 4 milliards de dollars. L’application est disponible uniquement pour les utilisateurs d'Apple. Mais, près de trois mois après avoir annoncé que la société développait une application Android, Paul Davison, cofondateur de Clubhouse, a annoncé ce week-end un calendrier provisoire pour les débuts très attendus du réseau social sur Android.
Une fuite de données est généralement décrite comme une violation qui expose des informations privées, confidentielles et sensibles. La fuite de données est généralement due à une faille de sécurité qui compromet des informations cachées. Mais dans le cas de Clubhouse, les données divulguées ne semblent pas contenir d'informations confidentielles. Toutes les informations semblent être des données accessibles au public qui ne nécessitent pas de piratage pour être obtenues.
Voici la liste du type de données (publiquement disponibles) qui, selon le rapport, ont fait l'objet de fuite : « ID utilisateur ; Nom ; URL de la photo ; Nom d'utilisateur ; Identifiant Twitter ; Identifiant Instagram ; Nombre de personnes suivies ; Nombre de personnes suivies par l'utilisateur ; Date de création du compte ; et Invité par le nom de profil de l'utilisateur ».
Il ne s'agit peut-être pas d'une fuite de données
Jane Manchun Wong, chercheuse en sécurité et blogueuse technologique, se demande s'il s'agit bien d'une fuite. Elle a suggéré que cela ressemblait à un simple téléchargement automatisé d'informations publiques. Jane Manchun Wong est une analyste en sécurité qui publie fréquemment des informations de dernière minute sur l'industrie technologique. Elle a été récompensée à quatre reprises par le programme Bug Bounty de Facebook pour avoir découvert des vulnérabilités.
Dans un fil de discussion sur Twitter, Jane a indiqué que la fuite de Clubhouse semble être juste un "scraping" d'informations publiques. Elle décrit l’incident dans un tweet : « Je ne vois aucune information privée dans cette "fuite de données" de Clubhouse. Les identifiants des utilisateurs sont numériques. Il semble donc que quelqu'un ait récupéré les données en utilisant l'API privée de Clubhouse, en itérant de l'identifiant 1 à l'identifiant suivant ».
Jane a fait remarquer que cela n'avait pas la sophistication technique des véritables piratages : « Honnêtement, ce "piratage" n'est pas du tout impressionnant. Comme wow, vous avez bouclé l'API de 1 à 2 à 3 pour les données autrement disponibles publiquement. Wow, très difficile techniquement ».
On parle de "Data Scraping" lorsqu'un logiciel est capable de télécharger des informations publiques à partir d'un site Web, comme des informations sur les membres ou même simplement le contenu. C'est comme un navigateur automatisé qui télécharge des informations publiques dans le but de créer des revenus, généralement par le biais de la publicité et parfois en vendant les données des utilisateurs. Dans ce cas, un logiciel appelé "scraper" a pu télécharger des informations publiques sur les utilisateurs, une par une. Ce qui a rendu ce scraping possible, c'est qu'apparemment Clubhouse crée et stocke les informations sur les utilisateurs par ordre numérique.
Chaque fois qu'un utilisateur crée un compte, il se voit attribuer un numéro d'utilisateur qui lui correspond. La personne suivante qui s'inscrit se voit attribuer un numéro supérieur d'un chiffre. Une personne qui souhaite télécharger des informations sur les utilisateurs peut facilement deviner quels sont les numéros des membres et utiliser un scraper pour télécharger les informations publiques. Les numéros de membres étant classés par ordre numérique, le scraper peut simplement rechercher chaque numéro de compte un par un et télécharger les informations publiques sur les membres.
Wong a poursuivi dans son fil de discussion en disant : « Les données d'un profil de Clubhouse, y compris le nom, les poignées de médias sociaux, la photo de profil, le nombre de suiveurs/suivis, et plus encore, ont apparemment été publiées sur Twitter. La source de cette fuite m'a dit que cela se fait en ouvrant l'application Clubhouse, en visualisant le profil de la victime et en faisant une capture d'écran ».
Des utilisateurs de Twitter qui suivaient la discussion de Wong ont tweeté des réponses satiriques indiquant à quel point ils étaient déçus par le soi-disant "piratage" du contenu accessible au public. D'autres se sont demandé en quoi le téléchargement d'informations publiques était un problème.
Les informations n’ont pas été obtenues grâce à une faille de sécurité
Aucune de ces informations n'est privée ou sensible comme les numéros de carte de crédit. Toutes les informations sont accessibles au public. La méthode utilisée pour obtenir les informations semble ne pas avoir été due à une faille de sécurité. Selon Wong, il semble s'agir d'un téléchargement relativement peu sophistiqué d'informations accessibles au public.
Par ailleurs, le PDG de Clubhouse, Paul Davison, a déclaré dimanche que le rapport affirmant que des données personnelles d'utilisateurs avaient été divulguées était "faux". « Non, c'est trompeur et faux, c'est un article clickbait, nous n'avons pas été piratés. Les données auxquelles il est fait référence étaient toutes les informations de profil public de notre application. La réponse à cette question est donc un "non" définitif », a déclaré Davison, en réponse à une question posée lors d'une réunion publique. Le compte Twitter de Clubhouse à réitéré cette réponse.
Une précédente publication a rapporté mardi dernier que les données personnelles de 500 millions d'utilisateurs de LinkedIn – environ deux tiers de la base d'utilisateurs de la plateforme – ont été récupérées et mises en vente en ligne. Un porte-parole de LinkedIn a dit dans une déclaration jeudi qu'il y a bien un ensemble d'informations publiques qui ont été grattées sur la plateforme de la société. Un pirate informatique tente de vendre ces données pour une somme à quatre chiffres et potentiellement sous forme de bitcoins. Mais l'entreprise a ajouté qu'aucune donnée de compte de membres privés de LinkedIn n'était incluse dans la fuite.
Paul Prudhomme, un analyste de la société de renseignement de sécurité IntSights, a déclaré toutefois que les données exposées sont importantes, car les acteurs de la menace déterminés pourraient les utiliser pour attaquer les entreprises par le biais des informations de leurs employés. Des pirates pourraient également utiliser les données exposées pour se faire passer pour des utilisateurs ou les inciter à révéler des informations de connexion sensibles.
Les fuites de données de LinkedIn et de Clubhouse sont arrivées quelques jours après la découverte d'une divulgation en ligne gratuite sur un forum de piratage des données personnelles de quelque 533 millions d'utilisateurs de Facebook. La fuite de Facebook aurait inclus les numéros de téléphone, les dates de naissance, les lieux, les adresses électroniques et les noms complets des utilisateurs.
Si vous pensez que les données de votre profil Clubhouse ont pu être divulguées par des acteurs de la menace, vous devez vous méfier des messages suspects de Clubhouse et des demandes de connexion émanant d'inconnus. Il est recommandé d’activer l'authentification à deux facteurs sur tous vos comptes en ligne. Vous devez également faire attention aux éventuels courriels et textos de phishing.
Sources : Jane Jane Wong, Clubhouse
Et vous ?
Avez-vous déjà pratiqué le Data Scraping ou en avez-vous été victime ?
Après le scraping des données des utilisateurs de LinkedIn, c’est maintenant le tour du nouveau réseau social Clubhouse. Quel commentaire en faites-vous ?
Voir aussi :
Microsoft aurait démenti le vol des données de 500 millions de comptes Linkedin, assurant qu'il n'y a eu aucune violation de données impliquant le site
235 millions de profils d'utilisateurs d'Instagram, TikTok et YouTube ont été exposés dans une fuite massive de données, Social Data, la société à l'origine de la fuite, a fermé la base de données
Facebook ne prévoit pas d'informer le demi-milliard d'utilisateurs touchés par la fuite des données, ce serait de votre faute si des pirates ont obtenu votre numéro de téléphone
La sécurité et la confidentialité du réseau social Clubhouse, spécialisé dans les contenus audio, sont remises en cause, ses concepteurs promettent de faire mieux après une série d'incidents
Pourquoi la prétendue fuite de données de Clubhouse est probablement en réalité juste un "scraping" de données,
Toutes les informations semblent être des données accessibles au public
Pourquoi la prétendue fuite de données de Clubhouse est probablement en réalité juste un "scraping" de données,
Toutes les informations semblent être des données accessibles au public
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !