Une fuite de données d’informations sur les membres du Clubhouse a été signalée. Les informations sont constituées de données accessibles au public et non d’informations sensibles telles que des mots de passe. La soi-disant fuite peut en fait n’être qu’une égratignure d’informations accessibles au public.

Fuite de données

Une fuite de données est généralement décrite comme une violation qui expose des informations privées, confidentielles et sensibles. La fuite de données se produit généralement en raison d’une faille de sécurité qui compromet des informations cachées.

Selon les rapports sur la soi-disant fuite de données, toutes les informations obtenues ne sont pas sensibles et sont accessibles au public.

Rapport de Clubhouse « Fuite de données »

Un rapport de Cybernews.com indique qu’il y a eu une fuite de données au Clubhouse, une application de médias sociaux populaire qui n’est disponible que pour les utilisateurs d’Apple.

Selon le rapport Cybernews :

« … on dirait que maintenant c’est au tour de Clubhouse. La plate-forme parvenue semble avoir connu le même sort, avec une base de données SQL contenant 1,3 million d’enregistrements d’utilisateurs Clubhouse divulgués gratuitement sur un forum de hackers populaire.

Des informations confidentielles ont-elles été divulguées ?

La soi-disant fuite de données ne semble pas comporter d’informations confidentielles. Toutes les informations semblent être des données accessibles au public qui ne nécessitent pas de piratage pour être obtenues.

Voici la liste des types de (Disponible publiquement) les données signalées par Cybernews ont été divulguées :

  • « Identifiant d’utilisateur
  • Nom
  • URL de la photo
  • Nom d’utilisateur
  • Nom d’utilisateur Twitter
  • Poignée Instagram
  • Nombre d’abonnés
  • Nombre de personnes suivies par l’utilisateur
  • Date de création du compte
  • Invité par le nom du profil d’utilisateur »

Peut-être pas une fuite de données

Jane Manchun Wong, chercheuse en sécurité et blogueuse technologique (@wongmjane) s’est demandé s’il s’agissait d’une fuite. Elle a suggéré que cela ressemble à un simple téléchargement automatisé d’informations publiques.

Jane Manchun Wong est une blogueuse technologique et analyste de la sécurité qui publie fréquemment des nouvelles de dernière minute liées à l’industrie technologique et a été présentée sur les principaux sites médiatiques comme CNN, CNET et The Next Web. Elle a été récompensée quatre fois par le programme Facebook Bug Bounty pour avoir découvert des vulnérabilités.

Jane a tweeté que la fuite du Clubhouse semble être une récupération de données d’informations accessibles au public.

Un grattage se produit lorsqu’un logiciel est capable de télécharger des informations publiques à partir d’un site Web, comme des informations sur les membres ou même simplement le contenu. C’est comme un navigateur automatisé qui télécharge des informations publiques.

Dans ce cas, le scraper a pu télécharger les informations des utilisateurs publics une par une. Ce qui a rendu ce grattage possible, c’est apparemment que Clubhouse crée et stocke les informations des utilisateurs dans l’ordre numérique.

Chaque fois qu’un utilisateur crée un compte, il se voit attribuer un numéro d’utilisateur qui lui correspond. La prochaine personne à s’inscrire se voit attribuer un numéro supérieur d’un chiffre. Quelqu’un qui souhaite télécharger des informations sur les utilisateurs peut facilement deviner quels sont les numéros de membre et utiliser un logiciel appelé grattoir pour télécharger les informations publiques.

Parce que les numéros de membre sont dans l’ordre numérique, le scraper peut simplement rechercher chaque numéro de compte un par un et télécharger les informations publiques sur les membres.

C’est ainsi que Jane le décrit dans un tweet:

« Ne voyant aucune information privée dans ces » données divulguées « de Clubhouse

Les identifiants des utilisateurs sont numériques. Il semble donc que quelqu’un ait récupéré les données en appuyant sur l’API privée de Clubhouse, en itérant de l’ID utilisateur 1 à au-delà.

Jane a fait remarquer à quel point cela manquait de la sophistication technique des hacks réels :

« Honnêtement, ce « hack » n’est pas très impressionnant du tout. Comme wow, vous avez bouclé l’API de 1 à 2 à 3 pour les données autrement accessibles au public. Wow, très difficile techniquement « 

Jane a ajouté des guillemets aux phrases « fuite de données » et « pirater » sans doute pour remettre en question la validité d’appeler cela une « fuite » et un « piratage ».

Une fuite de données se compose de données privées et sensibles, et non de données publiques accessibles à tous.

Elle a suivi avec ce tweet:

« Les données d’un profil Clubhouse, y compris le nom, les identifiants des réseaux sociaux, la photo de profil, le nombre d’abonnés/abonnés, etc., apparemment publiées sur Twitter

La source de cette fuite m’a dit que cela se faisait en ouvrant l’application Clubhouse, en visualisant le profil de la victime et en prenant une capture d’écran »

Les membres de Twitter qui suivaient la discussion de Jane ont tweeté des réponses satiriques indiquant à quel point ils étaient déçus par le soi-disant « piratage » du contenu accessible au public :

D’autres ont demandé à quel point il est important de télécharger des informations publiques :

Pourquoi il ne s’agit peut-être pas d’une fuite de données de Clubhouse

Aucune des informations n’est privée ou sensible. Toutes les informations sont accessibles au public. La méthode utilisée pour obtenir les informations ne semble pas avoir été due à une faille de sécurité. Selon la chercheuse en sécurité Jane Manchun Wong, cela semble être un téléchargement relativement simple d’informations accessibles au public.

Citations

Jane Manchun Wong explique la « fuite » du clubhouse sur Twitter

Fuite de données du Clubhouse : 1,3 million d’enregistrements d’utilisateurs divulgués en ligne gratuitement

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici