Clubhouse: les données de 1,3 millions d’utilisateurs partagées sur un forum

0

Clubhouse, l’application de chat sur invitation, est la dernière plate-forme de réseaux sociaux à voir un nombre élevé de données d’utilisateurs dérobées et affichées dans des forums souterrains. Un fichier SQL contenant les données personnelles de 1,3 million d’utilisateurs de Clubhouse a été publié gratuitement dans un forum de pirates informatiques.

Les noms, les identités des utilisateurs, l’URL des photos, le nombre d’abonnés, les noms d’utilisateur de Twitter et Instagram, les dates de création de comptes et même les informations de profil des personnes qui les ont invités sur l’application font partie des informations contenues dans la base de données, selon CyberNews. Les pirates informatiques ont donc en leur possession des informations clés qui peuvent être utilisées contre les victimes dans l’hameçonnage et d’autres escroqueries d’ingénierie sociale.

Pour sa part, Clubhouse a déclaré que toutes ces données d’utilisateurs sont publiques et qu’il n’y a donc pas eu de brèche, la plate-forme est juste construite de cette façon:

L’entreprise ne fournit pas d’autres détails et Clubhouse n’a pas répondu aux demandes de commentaires supplémentaires.

Les abonnés de Clubhouse sur Twitter n’ont pas tardé à noter que la déclaration souligne une différence sans aucune distinction avec l’exposition des utilisateurs.

« Je ne vois pas ce qui est faux … » a répondu l’utilisateur Benjamin Maynard suite à la déclaration de Clubhouse.

Les fuites d’API sont fréquentes sur les réseaux sociaux comme Clubhouse

Les conditions de service de Clubhouse interdisent le raclage des données, mais son API, de leur propre aveu, est en ligne sans aucune réelle protection.

« Clubhouse a des politiques d’utilisation contradictoires – en étant une plate-forme sur invitation seulement et en même temps en exposant les données des utilisateurs gratuitement », a déclaré Setu Kulkarni, vice-président de WhiteHat Security. « Il suffit qu’un seul utilisateur comprenne l’API pour que des données aussi importantes de millions d’utilisateurs sortent de la plate-forme. »

Kulkani a ajouté que ces plates-formes doivent priorisé la sécurité de leur API.

clubhouse

Mantas Sasnauskas, chercheur de CyberNews, a analysé les données de Clubhouse et a déclaré que le bogue de confidentialité est intégré à la plate-forme elle-même.

« La façon dont l’application Clubhouse est construite permet à toute personne ayant un jeton(token), ou via une API, d’interroger l’ensemble des informations publiques de profil d’utilisateur de clubhouse, et il semble que le jeton n’expire pas », a déclaré Sasnauskas.

L’équipe de CyberNews a ajouté que le fichier SQL affiché dans le forum des pirates n’a que des informations liées à Clubhouse et n’inclut pas de « données sensibles comme les détails de carte de crédit ou les documents juridiques ».

Un problème nié

Au cours des récentes semaines, les données de 533 millions d’utilisateurs de Facebook ont été divulguées, les données de 500 millions d’utilisateurs de LinkedIn ont été exposées et maintenant Clubhouse a partagé les données de 1,3 million de personnes.

Facebook était également vulnérable via leur API. Les organisations construisent ou intègrent souvent des API, sans tenir pleinement compte des cas d’abus des API. Dans ces cas-là, le « raclage » de données est un modèle d’attaque commun.

clubhouse

LinkedIn a également publié une déclaration à la suite de son incident, expliquant que la plate-forme n’était pas techniquement « violée », mais que les informations étaient publiques et grattées à partir du site de LinkedIn.

Pour accéder au fichier des données d’utilisateurs de LinkedIn dans le forum de hacker, cela coûte 2$ de crédits de forum. La base de données complète était mise aux enchères.

« Nous avons enquêté sur un ensemble présumé de données LinkedIn qui a été mis en vente et avons déterminé qu’il s’agit en fait d’une agrégation de données provenant d’un certain nombre de sites Web et d’entreprises » qui comprend « des données publiquement visualisables sur le profil des membres qui semblent avoir été grattées à partir de LinkedIn », a déclaré la société dans un communiqué. « Il ne s’agissait pas d’une violation de données de LinkedIn, et aucune donnée de compte d’un membre privé de LinkedIn n’a été incluse dans ce que nous avons pu examiner. »

Les retombées du raclage de données

« Je ne m’attends pas à ce que ce soit le dernier incident de ce genre », a prédit Michael Isbitski de Salt Security. « Les API sont régulièrement le véhicule des fonctionnalités et des données. Les entreprises de réseaux sociaux conçoivent intrinsèquement leurs plates-formes pour être consommables, ce qui permet d’alimenter une grande partie avec des API. Les attaquants le savent, et ils continuent de cibler les API avec ces attaques de raclage de données, en réutilisant les données accessibles au public à des fins malveillantes »

Les utilisateurs de ces trois plateformes de réseaux sociaux doivent être conscients qu’ils pourraient être ciblés par des campagnes d’hameçonnage par e-mail, donc les mots de passe forts et l’authentification multi-facteurs sont importants.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.