Il semble que les acteurs de la menace aient de plus en plus pour objectif d'extraire de vastes quantités de données utilisateur des plateformes de médias sociaux. La cascade d'incidents a commencé la semaine dernière avec une fuite de données ayant un impact sur plus d'un demi-milliard d'utilisateurs de Facebook, qui a été suivie d'un autre incident où des informations personnelles appartenant à un nombre similaire d'utilisateurs de LinkedIn se sont également retrouvées en vente sur un forum de piratage. Quelques jours à peine se sont écoulés avant que Clubhouse, la populaire plateforme de médias sociaux uniquement audio, connaisse à son tour un incident de sécurité.
Selon Cybernews, qui a rendu public cet incident, une base de données SQL contenant les données personnelles de 1,3 million d'utilisateurs de Clubhouse est en vente sur un forum de pirates. Les enregistrements comprennent des identifiants d'utilisateur, des noms, des pseudonymes, des identifiants de médias sociaux, des URL de photos, des dates de création de compte et des informations sur la personne qui a proposé l'utilisateur à l'application.
Cependant, Clubhouse a déclaré que les données sont publiques et que n'importe qui peut y accéder via son API. De plus, la plupart des informations sont librement consultables par les autres utilisateurs de l'application.
?s=20
Entre temps, certains experts en sécurité réputés ont également rejoint la mêlée et affirment que l'incident est loin d'être aussi grave que ce qu'en disent certains médias.
?s=20
Quoi qu'il en soit, il n'est pas exagéré de penser qu'un cybercriminel motivé pourrait utiliser les informations récoltées en combinaison avec des données provenant d'autres incidents afin de créer un portrait complet des victimes potentielles. Ces informations pourraient ensuite être utilisées pour mener des campagnes d'hameçonnage ciblées et des attaques d'ingénierie sociale. Dans certains cas, les données pourraient même être utilisées pour commettre des vols d'identité.
Il existe des moyens pour les utilisateurs d'atténuer les risques d'être victimes de cybercriminels entreprenants. Tout d'abord, vous devez vous méfier de tout message non sollicité que vous pourriez recevoir d'inconnus sur vos comptes de médias sociaux. Utilisez des mots de passe forts et uniques et activez l'authentification multifactorielle chaque fois qu'elle est disponible, de préférence avec un jeton matériel ou une application mobile. Il convient également de réfléchir au type d'informations que vous partagez sur un profil accessible au public, car un partage excessif peut avoir des conséquences sérieuses.
Clubhouse a également fait les gros titres en février, lorsqu'il est apparu qu'un utilisateur non identifié avait trouvé le moyen de diffuser des flux audio en provenance des salons de discussion de l'application vers un site Web tiers. En outre, les chercheurs d'ESET ont récemment découvert que des acteurs malveillants ont également essayé de profiter du succès soudain de la plateforme en diffusant des logiciels malveillants. Ces cybercriminels se sont effectivement fait passer pour la version Android officielle (toujours inexistante) de Clubhouse dans le but de subtiliser les informations de connexion des utilisateurs à divers services en ligne.