L’app en vogue Clubhouse victime d’une première «fuite» massive de données
Les données de plus d’un million d'utilisateurs de Clubhouse, réseau social générant une hype certaine, ont été partagées sur un forum de pirates informatiques. Fuite, piratage, simple web scraping ou exploitation d’une API exposant inutilement les données?
Clubhouse est le nouveau média social en vogue. Permettant d’accéder à des espaces de conversations audio, l’app se veut sélective. Elle n’est disponible que sur iOS et sur invitation. Reste qu’elle génère une hype certaine, étant notamment utilisée par des experts et personnalités de la Silicon Valley. Une caractéristique qui a de quoi stimuler des hackers en quête de données personnelles à revendre sur le darkweb. Clubhouse vient justement de subir un premier incident de ce type.
Le site spécialisé Cybernews a rapporté que les données d'environ 1,3 million utilisateurs de Clubhouse ont été publiées sur un forum de pirates informatiques. La base de données en question contient un grand nombre d'informations personnelles, notamment l'identifiant du compte, le nom de l'utilisateur, les identifiants Twitter et Instagram, le nombre de followers, la date de création du compte et le nom du membre à l’origine de l’invitation.
Utilisation abusive d’une API
Pas d'informations sensibles donc, telles que des e-mails ou mots de passe, ne sont concernées. Ces données, visiblement accessibles publiquement, pourraient avoir été collectées de façon massive à l'aide d’une technique de web scraping. En réaction aux articles évoquant un «hack» ou une «fuite», Clubhouse a expliqué via Twitter ne pas avoir subi de cyberattaque, précisant que n'importe qui peut accéder à ces données via son API.
Toutefois, le fait de permettre à tout un chacun de collecter et de télécharger en masse des informations de profil, même publiques, peut avoir un impact négatif en matière de privacy, note Cybernews dans son article.
Sur le forum Hacker News, un membre suggère aux développeurs de l’app de mettre en place une limitation dans l’utilisation de l’API, afin d’empêcher toute collecte de données de cette envergure. Sur Twitter, l'expert en cybersécurité Thierry Zoller fait de son côté remarquer que «scraper» le site web public ou abuser d’une exposition inutile des APIs sont deux approches de «scraping» à ne pas confondre, ajoutant que cette base de données de 1,3 millions d'utilisateurs de Clubhouse «contient un peu trop de détails».
