Fuite de données Clubhouse : les experts rejettent les affirmations du hacker.

D’après les utilisateurs du Forum où le hacker a posté son message; il serait considéré comme étant un faux échantillon, ce qui signifie peut-être que l’échantillon fourni par le pirate ne contient pas beaucoup d’informations « utiles », voir, généré automatiquement car il ne s’y trouve que des numéros de téléphone.

Le 23 juillet, un groupe de hackers a affirmé avoir accès à plus de 3,8 milliards de numéros de téléphone à partir des serveurs de Clubhouse.

L’information publiée sur un forum de pirates informatiques alléguant la fuite indique que la liste contient des numéros de téléphone portable, fixes, privés et professionnels. Les informations sur le dataleak ont été partagées sur Twitter par Jiten Jain, directeur de Voyager Infosec.

Les pirates présumés ont affirmé qu’ils étaient en mesure d’évaluer le niveau du réseau de chaque numéro de téléphone dans le monde. « Nous pouvons faire un classement national et international de chaque personne et organisation », ont-ils affirmé, et ont déclaré qu’ils vendraient les données de 3,8 milliards de numéros de téléphone via une vente aux enchères privée le 4 septembre 2021, à l’occasion du 23e anniversaire de Google.

De plus, le pirate prétend que le Clubhouse se connecte aux répertoires des utilisateurs en temps réel et chaque fois que quelqu’un ajoute un nouveau numéro, il est synchronisé avec les serveurs du Clubhouse. Bien que l’affirmation soit assez vraie car elle montre qui a rejoint Clubhouse à partir du répertoire téléphonique d’un utilisateur, de nombreux voix s’élèvent pour dire le contraire.

Le dataleak marqué comme étant un « mauvais échantillon »

Sur le forum, les utilisateurs ont marqué le message comme étant un mauvais échantillon, ce qui signifie que l’échantillon fourni par le pirate ne contient pas beaucoup d’informations « utiles ». Lorsque nous avons parcouru les commentaires sur le forum, nous avons remarqué que de nombreux utilisateurs de ce forum avaient qualifié ses données de « trash ».

À gauche : échantillon fourni par le pirate informatique. À droite : les utilisateurs du forum l’appellent une base de données poubelle.

Sunny Nehra, administrateur de Hacks And Security a déclaré: «J’ai déjà vu ce hacker faire de nombreuses déclarations auparavant, mais à la fin, ses prétendues fuites sont pour la plupart fausses. La liste qu’il fournit ne contient que des numéros de téléphone qui peuvent être extraits par n’importe quel moyen. Il existe des milliers de bases de données disponibles pour chaque pays avec seulement une liste de numéros de téléphone. Qui sait s’il venait de compiler toutes les listes ensemble et de les marquer comme fuite de clubhouse ! Pour être honnête, ces forums sont pour la plupart pleins de contrefaçons. »

Dans un tweet, Nehra a déclaré: « L’information sur le dataleak de Clubhouse sur #darknet deviennent virales. La première chose que le vendeur est qu’il annonce un échantillon GRATUIT, mais il faut huit crédits pour le débloquer. Deuxièmement, ce ne sont que des numéros de téléphone japonais aléatoires. Troisièmement, l’acteur est assez nouveau sur ce forum, est le moins actif et a l’habitude de faire de telles affirmations boiteuses. »

Il a en outre ajouté: « L‘acteur de la menace semble arnaquer les utilisateurs de ce forum sur le nom de #clubhouse #dateleak. Plus tôt, quelqu’un a fait une réclamation similaire, et les données n’étaient que des données publiques grattées des utilisateurs du clubhouse. Et celui-ci est encore plus boiteux. Il suffit de fournir une liste aléatoire de numéros du Japon. »

Nehra a déclaré que de tels nombres pourraient également être générés à l’aide d’un script simple.

Rajshekhar Rajaharia, chercheur en cybersécurité, a déclaré : « Le pirate ne fait que vendre des numéros de mobile Clubhouse qui semblent générés. Il n’y a pas de nom, de photo ou d’autres détails disponibles. Cette liste de numéros de téléphone peut être générée très facilement. Les PII (Personal Identification Information) ne sont disponibles pour aucun numéro de la base de données. L’allégation de fuite de données semble être un faux. »

Dans un tweet, il a déclaré : « Un #Hacker vendrait une liste de 3,8 milliards de numéros de téléphone de #Clubhouse. Semble complètement faux. Il n’y a que des numéros de portables sans noms, sans photos. Cette liste de numéros de téléphone peut être générée très facilement. PII non disponible. »

Il a en outre ajouté: « Ce vendeur a un mauvais passé. Attirer les acheteurs en montrant aux abonnés de la chaine Telegram. Semble Faux.
C’est le même groupe Telegram qui vendait la fausse base de données #Whatsapp de 470 millions d’utilisateurs « Sans nom et photo ». Maintenant, ils ont changé le nom du groupe de « Whatsapp Database Leak » en « ClubHouse Database Leak ». Je vends maintenant de faux numéros de Clubhouse sans nom ni photo.»

Le cofondateur et directeur technique de la société de renseignement sur la cybercriminalité Hudson Rock a déclaré dans un tweet: « La nouvelle fuite de la base de données Clubhouse, c’est de la m*rde. C’est juste une liste de numéros de téléphone, sans aucune information supplémentaire, ils auraient pu arriver de n’importe où. »

Le mot de la fin?

Même si tous les acteurs de la cyber défense se rejoignent sur la position de ClubHouse: Il n’y a aucun breach de sécurité, les allégations du hacker n’en sont pas moins interpellantes sur les respects du RGPD et sur le droit à la vie privée qui est souvent piétiné par les prestataires de services que peuvent être Facebook, WhatsApp ou encore ClubHouse. N’oubliez pas, quand un produit est gratuit… C’est que vous êtes le produit