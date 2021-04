Clubhouse continue de faire les gros titres dans le monde entier pendant une semaine, mais cette fois avec des nouvelles controversées. Les données personnelles de 1,3 million d’utilisateurs du réseau social audio ont été exposées sur un forum de hackers populaire, mais l’entreprise conteste qu’il s’agissait d’une fuite.

Tel que rapporté par CyberNews, quelqu’un a publié la semaine dernière une base de données contenant les données de 1,3 million d’utilisateurs du Clubhouse. Cette base de données comprend des informations telles que l’ID utilisateur, le nom, la photo, les profils de réseaux sociaux et d’autres détails de profil.

Immédiatement, le PDG de Clubhouse, Paul Davison, a fait valoir que les articles sur les données exposées étaient «trompeurs et faux» puisqu’il prétend que toutes ces données sont publiques pour les utilisateurs de Clubhouse (via The Verge). Après cela, le profil officiel du Clubhouse sur Twitter a partagé une déclaration renforçant le fait que les données de base de données exposées peuvent être obtenues par n’importe quel développeur via l’API de l’application.

C’est trompeur et faux. Le clubhouse n’a pas été violé ou piraté. Les données auxquelles il est fait référence sont toutes les informations de profil public de notre application, auxquelles tout le monde peut accéder via l’application ou notre API.

Cela a néanmoins soulevé des problèmes de confidentialité concernant l’application. Comme la confidentialité des données des utilisateurs devient de plus en plus importante chaque jour, le fait que n’importe qui puisse télécharger une base de données avec une liste de tous les utilisateurs d’un réseau social est pour le moins discutable.

Le chercheur en sécurité de CyberNews, Mantas Sasnauskas, soutient que Clubhouse devrait repenser le fonctionnement de son API pour limiter la quantité de données que les développeurs peuvent y accéder. Bien que la base de données exposée ne contienne que des informations publiques, cela pourrait entraîner des «attaques de phishing et d’ingénierie sociale».

La façon dont l’application Clubhouse est créée permet à toute personne disposant d’un jeton, ou via une API, d’interroger l’ensemble des informations de profil utilisateur public Clubhouse, et il semble que ce jeton n’expire pas. Cela devrait non seulement se refléter dans les conditions de service, mais également dans la mise en œuvre technique de l’application, ce qui rend plus difficile pour quiconque de récupérer les données des utilisateurs. Le fait de ne pas avoir mis en place de mesures anti-raclage peut être considéré comme un problème de confidentialité. Des attaquants particulièrement déterminés peuvent combiner des informations trouvées dans la base de données SQL divulguée avec d’autres violations de données afin de créer des profils détaillés de leurs victimes potentielles. Avec ces informations en main, ils peuvent lancer des attaques de phishing et d’ingénierie sociale beaucoup plus convaincantes ou même commettre un vol d’identité contre les personnes dont les informations ont été exposées sur le forum des hackers.

Il a été rapporté la semaine dernière que Twitter envisageait d’acquérir Clubhouse pour 4 milliards de dollars, mais les discussions ultérieures ont été interrompues. Maintenant, Clubhouse recherche d’autres investisseurs alors que la concurrence se développe avec des entreprises comme Facebook et Twitter travaillant sur leurs propres plates-formes audio en direct.

