Après LinkedIn et Facebook et les données de 533 millions d’utilisateurs, c’est au tour des données de Clubhouse de fuiter. En effet, en l’espace de dix jours, les données des utilisateurs des trois sites se sont retrouvées sur le web. Une base de données SQL contenant les informations de 1,3 million d’utilisateurs de la plateforme a été mise en ligne sur un forum de hacking.

Ce n’est pas un piratage, souligne Clubhouse

Clubhouse a immédiatement réagi ; l’entreprise indique que ce n’est pas un piratage. En effet, la base de données SQL contenait des informations relatives aux profils des utilisateurs, et ainsi des informations publiques. Le service de chat audio a déclaré que les données pouvaient être consultées par “n’importe qui” via leur API.

Clubhouse semble minimiser les risques d’une telle fuite, qu’elle refuse de qualifier comme telle. En effet, elle explique que parler de fuite de données est “faux et trompeur”. L’argument de l’application est le même que celui de LinkedIn. Néanmoins, comme le souligne CyberNews, les données des fichiers pourraient être utilisées pour mener des attaques de phishing ciblées. De plus, elles pourraient aussi servir à usurper une identité.

Cette fuite interroge sur l’exposition, ou non, des données des utilisateurs de Clubhouse. Comme le note Mantas Sasnauskas, chercheur principal en sécurité de l’information pour CyberNews, cela pourrait révéler un important problème de confidentialité de la plateforme. “La façon dont l’application Clubhouse est faite laisse n’importe qui, avec un jeton ou via un API, remettre en cause la totalité des informations publiques des profils des utilisateurs de Clubhouse, et il semble que le jeton n’expire pas.”

Clubhouse avait déjà été vivement critiquée sur sa protection des données et sa sécurité. Le mois dernier, la CNIL a même ouvert une enquête pour vérifier que la plateforme n’enfreint pas le RGPD. De plus, une équipe de chercheurs du Stanford Internet Observatory avait découvert que le gouvernement chinois pouvait accéder aux données utilisateurs sur l’application si elle le désirait. Ces failles sont donc loin d’être nouvelles.

Comptabilisant près de 13 millions de téléchargements, Clubhouse a tout à gagner à renforcer sa sécurité s’il veut assurer sa pérennité. L’application est menacée par l’arrivée des plateformes audio de Twitter, LinkedIn, Facebook, Slack ou encore Discord. Si elle ne renforce pas sa politique de confidentialité, qui inquiète ses utilisateurs, Clubhouse pourrait les voir partir sur d’autres services plus sécurisés.