Clubhouse : des millions de données personnelles dans la nature !

La CNIL ouvre une enquête sur la gestion des données de l'application Clubhouse

Le mois dernier, Clubhouse s’est à nouveau trouvé dans une histoire de protection de données de ses utilisateurs. En effet, selon Cyber News, c’est près d’1,3 millions d’utilisateurs sur l’application iOS de la plateforme, Clubhouse, qui ont vu leurs données personnelles divulguées sur un site de hackers. La base de données SQL de Clubhouse aurait été récupérée puis diffusée sur un forum de personnes malveillantes. Cette base contient des informations telles que les pseudos des utilisateurs, leurs noms et prénoms, les dates de création de profil, des compteurs de followers, les URL des photos de profils, ainsi que les adresses des comptes Twitter et Instagram reliés au compte Clubhouse.

Déjà repris pour mauvaise gestion des données

Clubhouse a déjà dû améliorer ses paramètres de sécurité, car il y a eu des rumeurs d’espionnage impliquant les services chinois. Également, la CNIL avait ouvert une enquête, le 12 mars dernier, pour vérifier que le RGPD (Règlement Général sur la Protection des Données) était parfaitement respecté. 

Même situation que Facebook et LinkedIn

Facebook et LinkedIn ont aussi été accusés d’avoir mal géré les données personnelles de leurs utilisateurs. Sur Facebook, ce sont 533 millions d’utilisateurs qui ont vu leurs données mises en ligne gratuitement. Pour LinkedIn, ce sont 500 millions d’utilisateurs. Cependant, Facebook, LinkedIn et Clubhouse, certifient qu’il ne s’agit pas d’un piratage, mais d’une collecte d’informations

Un piratage démenti par Clubhouse

Selon Clubhouse, ce n’est pas un piratage, ni une faille de sécurité. Selon leurs dires, les données personnelles des utilisateurs de la plateforme sont de toute manière, consultables par les autres utilisateurs eux-mêmes et par conséquent, récupérable par l’API du réseau. 

Or, Clubhouse est une application très élitiste, utilisable uniquement sur invitation. C’est pourquoi, les données personnelles des utilisateurs ne sont pas vraiment publiques. Ce qui montre une certaine implication de Clubhouse dans la divulgation de ces données personnelles. 

Le tweet pour s’affranchir des responsabilités

Le 11 avril 2021, Clubhouse tweet sur son compte Twitter « Ceci est trompeur et faux. Clubhouse n’a pas été violé ou piraté. Les données auxquelles il est fait référence sont toutes les informations de profil publiques de notre application, auxquelles tout le monde peut accéder via l’application ou notre API. » 

Les risques pour les utilisateurs

Cette fuite de données personnelles est extrêmement dangereuse pour les utilisateurs de Clubhouse. Ces derniers sont donc exposés à du phishing ciblé et du vol d’identité, notamment. Heureusement que dans cette base de données, il n’y avait pas de coordonnées bancaires, cela aurait été dramatique pour les utilisateurs et pour la réputation du réseau social. Suite à cet incident de divulgation, les utilisateurs de Clubhouse ont été invités à changer expressément de mot de passe et à prendre garde aux messages et e-mails qu’ils pourraient recevoir. 

Une question se pose maintenant, qu’est-ce qui est le plus dangereux ? Que Clubhouse se soit fait pirater ou que la plateforme donne accès à tout le monde et délibérément aux données personnelles de ses utilisateurs ?

Facebook
Twitter
LinkedIn