IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 354
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 354
    Points : 154 786
    Points
    154 786
    Par défaut Clubhouse : près de 4 milliards de numéros de téléphone en vente aux enchères sur le darknet
    Clubhouse : près de 4 milliards de numéros de téléphone en vente aux enchères sur le darknet,
    tirés de l'application de type réseau social

    Clubhouse est une application logicielle de réseautage social pour appareils mobiles développée par Paul Davison et Rohan Seth qui permet via des chambres privées et sur invitation de converser à plusieurs.

    Marc Ruef, un chercheur en cybersécurité, a découvert 3,8 milliards d’identifiants en ligne sur le darknet, issus d’un soi-disant piratage de ladite application. Parmi la liste, on retrouve non seulement des mobiles, mais aussi des lignes fixes, qu’il s’agisse d’informations privées ou professionnelles. "La base de données complète des numéros de téléphone de Clubhouse est en vente sur le Darknet. Elle contient 3,8 milliards de numéros de téléphone. Ce ne sont pas seulement des membres, mais aussi des personnes dans les listes de contacts qui ont été synchronisées. Il y a de fortes chances que vous soyez répertorié même si vous n'avez pas de connexion à Clubhouse", indique Ruef.

    Nom : clubhouse.png
Affichages : 22673
Taille : 128,4 Ko

    Mais alors, comment une telle fuite de renseignements personnels a-t-elle pu avoir lieu ? Le hacker responsable de la situation explique :

    "Clubhouse est connecté en direct aux contacts de tous ses utilisateurs ce qui signifie que chaque fois que vous ajoutez un numéro de téléphone dans votre carnet d’adresses [celui-ci] est automatiquement ajouté à la base de données “secrète” de Clubhouse".

    Le contenu s’accompagne d’une classification complète, catégorisant les numéros en fonction de leur popularité. Ce qu’il faut comprendre, c’est que Clubhouse attribue en fait un score à chacun des numéros récoltés, calculé en fonction du nombre de membres de la plateforme qui le comptent au sein de leur annuaire. Plus le score est haut, plus la personnalité associée au numéro a de chances d’être “importante”. :

    "Chaque membre est classé par une note (la note correspond au nombre d'utilisateurs Clubhouse qui ont ce numéro de téléphone particulier dans leurs contacts téléphoniques). Avec cette note, nous sommes en mesure d'évaluer le niveau dans le réseau de chaque numéro de téléphone dans le monde. Nous pouvons faire un classement national et international de chaque humain et organisation”.

    Nom : hacker.png
Affichages : 3441
Taille : 354,2 Ko

    En outre, la base de données volée comprend les coordonnées de célébrités telles que Elon Musk ou Mark Zuckerberg, qui ont contribué à rendre l'application populaire en participant de temps à autre aux salons de discussion.

    Il semblerait cependant que ces numéros ne soient associés à aucune autre information de contact (nom, prénom, adresse), ce qui a de quoi rassurer dans un premier temps. Lionel Doumeng, expert en cybersécurité chez F-Secure, indique tout de même que ce vol de données est important “car il s'agit d'une plateforme assez utilisée” et que “les numéros de téléphone sont facilement associables à une personne”. Ces numéros permettent par exemple d'envoyer un message direct à une personne, établir un climat de confiance, envoyer un lien facilement, le tout en validant l'identité de la personne grâce aux informations associées à une autre plateforme, telle que WhatsApp.

    La vente sera réalisée le 4 septembre 2021 et devrait intéresser de grands groupes criminels. Un échantillon de 80 millions de numéros de téléphone a d'ailleurs été mis à disposition. Une fois les 3,8 millions de numéros vendus au plus offrant, le nombre d'arnaques par téléphone, comme les campagnes de phishing par SMS par exemple, pourrait se multiplier. “Ils pourraient toucher des entreprises, avec du vol de données ou des attaques de ransomware, et puis peut-être revendre ensuite des données à des attaquants pouvant s’en prendre à de plus petites cibles”, a prévenu Lionel Doumeng.

    Pas de fuite de données selon Clubhouse

    Le scraping avait déjà été évoqué par plusieurs chercheurs en sécurité ayant analysé l’échantillon mis à disposition par l’internaute : les vendeurs du fichier ont ainsi pu générer des numéros de téléphone correspondant à des formats connus, puis exploiter l’API de Clubhouse pour vérifier le numéro, récupérer l’information sur le « score de popularité » associé, agréger le tout et mettre ensuite le fichier en vente.

    Parmi les personnes penchant sur cette hypothèse, nous comptons Jane Manchun Wong, chercheuse en sécurité et blogueuse technologique qui a suggéré que cela ressemblait à un simple téléchargement automatisé d'informations publiques. Jane Manchun Wong est une analyste en sécurité qui publie fréquemment des informations de dernière minute sur l'industrie technologique. Elle a été récompensée à quatre reprises par le programme Bug Bounty de Facebook pour avoir découvert des vulnérabilités.

    Dans un fil de discussion sur Twitter, Jane a indiqué que la fuite de Clubhouse semble être juste un "scraping" d'informations publiques. Elle décrit l’incident dans un tweet : « Je ne vois aucune information privée dans cette "fuite de données" de Clubhouse. Les identifiants des utilisateurs sont numériques. Il semble donc que quelqu'un ait récupéré les données en utilisant l'API privée de Clubhouse, en itérant de l'identifiant 1 à l'identifiant suivant ».

    Jane a fait remarquer que cela n'avait pas la sophistication technique des véritables piratages : « Honnêtement, ce "piratage" n'est pas du tout impressionnant ».

    On parle de "Data Scraping" lorsqu'un logiciel est capable de télécharger des informations publiques à partir d'un site Web, comme des informations sur les membres ou même simplement le contenu. C'est comme un navigateur automatisé qui télécharge des informations publiques dans le but de créer des revenus, généralement par le biais de la publicité et parfois en vendant les données des utilisateurs. Dans ce cas, un logiciel appelé "scraper" a pu télécharger des informations publiques sur les utilisateurs, une par une. Ce qui a rendu ce scraping possible, c'est qu'apparemment Clubhouse crée et stocke les informations sur les utilisateurs par ordre numérique.

    Chaque fois qu'un utilisateur crée un compte, il se voit attribuer un numéro d'utilisateur qui lui correspond. La personne suivante qui s'inscrit se voit attribuer un numéro supérieur d'un chiffre. Une personne qui souhaite télécharger des informations sur les utilisateurs peut facilement deviner quels sont les numéros des membres et utiliser un scraper pour télécharger les informations publiques. Les numéros de membres étant classés par ordre numérique, le scraper peut simplement rechercher chaque numéro de compte un par un et télécharger les informations publiques sur les membres.

    Wong a poursuivi dans son fil de discussion en disant : « Les données d'un profil de Clubhouse, y compris le nom, les poignées de médias sociaux, la photo de profil, le nombre de suiveurs/suivis, et plus encore, ont apparemment été publiées sur Twitter. La source de cette fuite m'a dit que cela se fait en ouvrant l'application Clubhouse, en visualisant le profil de la victime et en faisant une capture d'écran ».

    Des utilisateurs de Twitter qui suivaient la discussion de Wong ont tweeté des réponses satiriques indiquant à quel point ils étaient déçus par le soi-disant "piratage" du contenu accessible au public. D'autres se sont demandé en quoi le téléchargement d'informations publiques était un problème.

    Les informations n’ont pas été obtenues grâce à une faille de sécurité

    Aucune de ces informations n'est privée ou sensible comme les numéros de carte de crédit. Toutes les informations sont accessibles au public. La méthode utilisée pour obtenir les informations semble ne pas avoir été due à une faille de sécurité. Selon Wong, il semble s'agir d'un téléchargement relativement peu sophistiqué d'informations accessibles au public.

    Par ailleurs, le PDG de Clubhouse, Paul Davison, a déclaré que le rapport affirmant que des données personnelles d'utilisateurs avaient été divulguées était "faux". « Non, c'est trompeur et faux, c'est un article clickbait, nous n'avons pas été piratés. Les données auxquelles il est fait référence étaient toutes les informations de profil public de notre application. La réponse à cette question est donc un "non" définitif », a déclaré Davison, en réponse à une question posée lors d'une réunion publique. Le compte Twitter de Clubhouse a réitéré cette réponse.

    Sources : Marc Ruef, ClubHouse
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé
    Homme Profil pro
    retraité
    Inscrit en
    septembre 2014
    Messages
    266
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : septembre 2014
    Messages : 266
    Points : 621
    Points
    621
    Par défaut
    je ne peux que lancer un appel à démolir le site web des pirates sur le darknet.

  3. #3
    Membre expert Avatar de kain_tn
    Homme Profil pro
    Inscrit en
    mars 2005
    Messages
    1 041
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations forums :
    Inscription : mars 2005
    Messages : 1 041
    Points : 3 864
    Points
    3 864
    Par défaut
    Citation Envoyé par TotoParis Voir le message
    je ne peux que lancer un appel à démolir le site web des pirates sur le darknet.
    Et tu penses que les données ne seront plus revendues après ça??
    Copier c'est copier; voler c'est vendre un CD une vingtaine d'euros!


    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    #include <stdio.h>
     
    int main(int argc, char **argv) {
     
        printf("So long, and thanks for the fish, Dennis...\n");
        return 0;
    }

  4. #4
    Membre confirmé Avatar de Christian_B
    Homme Profil pro
    Retraité
    Inscrit en
    octobre 2016
    Messages
    255
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : octobre 2016
    Messages : 255
    Points : 495
    Points
    495
    Par défaut
    Tout cela m'apparaît absurde et largement bidon.
    Est-ce que des milliards de personnes ont mis réellement en visibilité publique leurs numéros de téléphone, y compris mobile, et ce sur une seule application ?
    D'autre part, il est aussi question de numéros de contacts, supposés être privés. Faudrait savoir.
    Enfumage probable destiné à faire payer des gogos et un peu trop complaisamment relayé par certains "experts".
    Linux Mint 20.2 Mate.
    Les armes nucléaires sont interdites depuis le 22 janvier. Y a plus qu'à ...

Discussions similaires

  1. Réponses: 2
    Dernier message: 04/05/2020, 10h38
  2. Réponses: 0
    Dernier message: 17/04/2020, 09h40
  3. Réponses: 2
    Dernier message: 07/06/2017, 20h39
  4. Réponses: 0
    Dernier message: 10/05/2017, 22h49
  5. Réponses: 0
    Dernier message: 19/10/2010, 01h20

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo