Clubhouse : fuite des données de 1,3 million d’utilisateurs
(cybernews.com)- Un fichier SQL contenant des informations d’utilisateurs a été rendu public
→ il ne contient pas d’informations sensibles comme les mots de passe ou les comptes e-mail
→ User ID, nom, URL de photo, nom d’utilisateur, identifiant Twitter/Instagram, nombre d’abonnés, nombre d’abonnements, date de création du compte, personne ayant invité l’utilisateur
- Clubhouse a officiellement répondu qu’il ne s’agissait pas d’un piratage, mais d’informations publiques accessibles via l’API
- Toutefois, elles pourraient probablement être utilisées pour des attaques de type ingénierie sociale, donc prudence
2 commentaires
🤦♀️
https://news.ycombinator.com/item?id=26768299
L’utilisateur qui avait signalé ce problème à Clubhouse en février n’aurait reçu aucune réponse.
Avec le seul token récupéré via une attaque MITM, il est possible d’interroger sans limite l’ensemble des profils publics des utilisateurs
Cela pourrait être bloqué au minimum avec une limitation du nombre de résultats de recherche et du rate limiting, mais ils semblent ne rien faire du tout