Home

Entreprises qui nous ont choisis

Privacy Officer et Privacy Consultant
Schéma CDP selon ISO/IEC 17024:2012
European Privacy Auditor
Système de certification ISDP©10003 selon ISO/IEC 17065:2012
Auditor
Selon la norme UNI 11697:2017
Lead Auditor ISO/IEC 27001:2022
Selon la norme ISO/IEC 17024:2012
Délégué à la Protection des données
Selon la norme ISO/IEC 17024:2012
Anti-Bribery Lead Auditor Expert
Selon la norme ISO/IEC 17024:2012
ICT Security Manager
Selon la norme UNI 11506:2017
IT Service Management (ITSM)
Selon la Fondation ITIL
Ethical Hacker (CEH)
Selon EC-Council
Network Defender (CND)
Selon EC-Council
Computer Hacking Forensics Investigator (CHFI)
Selon EC-Council
Penetration Testing Professional (CPENT)
Selon EC-Council

Qualifications professionnelles

Restez au courant de l'actualité mondiale!

Sélectionnez les thèmes qui vous intéressent:

News

Home / News
/
Objet d’achat-vente les données de 1,3 millions d’utilisateurs de Clubhouse?

Objet d’achat-vente les données de 1,3 millions d’utilisateurs de Clubhouse?

Après Facebook et Linkedin, même la nouvelle plate-forme sociale Clubhouse se retrouve dans la ligne de mire des agresseurs avec une apparente fuite de données impliquant plus d’un million d’utilisateurs. Clubhouse, la start-up qui a récemment innové dans le monde des réseaux sociaux, avec son application « à invitation seulement » a été touchée par le dernier cas de vol de données utilisateur, qui a ensuite abouti à la publication des enregistrements eux-mêmes sur un forum underground, sans rémunération (les données sont accessibles au public). Il s’agit d’un fichier qui contient des données personnelles relatives à 1,3 millions d’utilisateurs Clubhouse.

Les noms d’utilisateur, ID, URL des photos, nombre de followers, comptes Twitter et Instagram, date de création du compte et aussi des informations sur le profil qui a donné l’invitation à l’application, sont parmi les informations contenues dans cette base de données, selon ce que révèle Cybernews. Avec ces informations, des gangs ou des hackers solitaires pourraient créer des campagnes de phishing ciblées ou d’autres modèles basés sur l’ingénierie sociale.

La réponse de Clubhouse – Par l’intermédiaire de ses représentants, Clubhouse a déclaré que la mise à disposition des données de ses utilisateurs n’est pas causée par un bug mais par le fonctionnement même de la plate-forme, c’est-à-dire par la façon dont elle est construite.

Toutefois, sur la base de ce qui précède, il est difficile de comprendre comment cette circonstance peut être pertinente pour les utilisateurs concernés par cette fuite de données.

Le fléau des API sociales « passoire » – Les conditions de service de Clubhouse interdisent clairement le scraping de données, c’est-à-dire cette activité d’extrapolation de données automatisée, mais son API, comme admis par Clubhouse elle-même, est disponible en ligne, est ne dispose d’aucune protection contre cette pratique.

Les politiques d’utilisation sont apparemment contradictoires dans le cas de Clubhouse : il s’agit d’une plate-forme « à invitation seulement » mais en même temps les données utilisateurs sont disponibles à tous. En effet, il suffit de comprendre le fonctionnement et la structure de l’API pour exfiltrer les données des millions d’utilisateurs qui se sont inscrits.

Un vrai cauchemar d’intimité…

Dans l’état actuel des choses, il serait essentiel que les dirigeants de la société prennent des mesures de sécurité rigoureuses, y compris pour l’API. Tester l’API en production est important non seulement pour révéler les vulnérabilités possibles, mais aussi pour les flaws logiques possibles qui peuvent entraîner un accès sans discernement aux données des utilisateurs.

Un problème fondamental – La façon dont l’application Clubhouse a été réalisée permet à quiconque a un jeton, ou par une API, d’envoyer une requête à l’ensemble des données publiques relatives aux informations des profils des utilisateurs et apparemment ce jeton n’a pas de date d’expiration.

Le fichier SQL posté dans le forum de piratage ne contient que des informations relatives à clubhouse et ne contient aucune donnée sensible comme les détails de cartes de crédit ou des documents d’identité.

Au cours des deux dernières semaines, les données concernant 533 millions d’utilisateurs Facebook ont été divulguées, tandis qu’elles étaient de 500 millions dans le cas du scraping sur Linkedin, qui s’ajoutent aux 1,3 million d’utilisateurs supplémentaires de Clubhouse.

Et le trait commun est préoccupant : toutes les plates-formes ont nié même la simple existence du problème. Facebook a été piraté de manière similaire à travers l’API, selon un schéma qui devient de plus en plus commun à la lumière des derniers événements.

Scraping de contenu – Le scraping de contenu est la première étape d’un motif d’attaque assez commun. Les entreprises numériques construisent (ou intègrent) souvent des API, sans accorder trop d’attention au potentiel d’abus des données qu’elles contiennent.

Même Linkedin, après l’accident, avait révélé publiquement que la plate-forme n’avait pas été « violée » d’un point de vue technique mais que les informations étaient publiques et ont été détournées par le scraping.

Swascan lui-même, le 5 avril 2021 dernier, à l’aide de ses propres outils de Osint Search Engine avait identifié plusieurs annonces de vente concernant les données d’utilisateurs présents sur Linkedin.

Il avait identifié :

  • un post publié le 03 avril 2021 à 12:41 PM concernant la vente de « Linkedin 1Billion(1000Million) Record »
  • un post publié le 11 janvier 2021 à 05:43 AM concernant la vente de  » Linkedin 550Milioni full profiles, emails, phone- recent data »

Les conséquences dangereuses du Data Scraping – Accidents de ce type ne semblent pas devoir s’arrêter dans les prochains mois. Les API sont des véhicules de fonctionnalité et de données. Les entreprises qui exploitent des plates-formes de réseaux sociaux pensent avant tout à leur utilité en rendant les API disponibles pour une mise en œuvre plus rapide des réseaux sociaux par des services et logiciels externes.

Les agresseurs le savent très bien et continuent à cibler ces API pour offensive à base de data scraping, afin de réutiliser les données, accessibles au public, à des fins criminelles.
La collecte potentielle de données sur les e-mails et les téléphones mobiles nous expose au risque concret et tangible de:

  • Phishing
  • Smishing
  • Business Email Compromised
  • Spam
  • Spoofing

Les utilisateurs de toutes ces plateformes sociales devraient être conscients des risques liés à cette fuite de données. Il est conseillé d’accorder de plus en plus d’attention aux courriels et communications suspects, car le risque de devenir l’objet d’une campagne de phishing s’élève après des événements d’une telle ampleur.

SOURCE: FEDERPRIVACY

Proposé pour vous

Recherche avancée