Un individu clame à qui veut l’entendre (le lire surtout) qu’il détient une base « secrète » provenant de Clubhouse et contenant 3,8 milliards de numéros de téléphone. Mais pas de fuite, encore… du data scrapping, toujours. Tirons notre chapeau à celui qui a fait l’effort de générer des milliards de numéros de téléphones pour les comparer à ceux des utilisateurs, via l’API de l’application.
Sur un forum bien connu comme lieu de revente de données obtenues par des biais plus ou moins licites, un utilisateur a fièrement annoncé qu’il disposait de « la base de données secrète » de Clubhouse. Celle dans laquelle sont stockées les numéros de téléphones des 10 millions d’utilisateurs de l’application, mais aussi les numéros de leurs contacts, quant bien même ces derniers n’ont cure des salons audio de Clubhouse.
Ainsi, ce sont 3,8 milliards de numéros que notre « hacker », repéré par le chercheur en sécurité (de grand talent) Marc Ruef, mettra aux enchères le 4 septembre prochain, « pour le 21eme anniversaire de Google » précise-t-il (ou elle). Comment donc notre « pirate » a-t-il procédé ? Selon ClubHouse, point de fuite de données ici, mais du « data scrapping » (encore !) bête et méchant.
Scrapper (skʁa.pe) : se dit des hackers sans talent particulier
Mais, contrairement au data scrapping vu chez LinkedIn ou Facebook, où les scripts récupéraient tout de même plusieurs informations liées à un compte, les données collectées ici ne consistent qu’en des numéros de téléphone, associés à un « score de popularité ». Pas de nom, pas d’adresse mail… on a déjà vu des bases un tantinet plus utiles lorsqu’il s’agit de mener des campagnes de phishing.
D’autant qu’il semble, à en croire Clubhouse ainsi que plusieurs chercheurs qui se sont penchés sur l’échantillon fourni (83 millions de numéros) par l’auteur du post, ce dernier aurait procédé de façon particulièrement… « merdique », en générant des quantités astronomiques de numéros de téléphone aléatoires et en appelant l’API de Clubhouse, de manière automatisée (espérons-le pour ces pauvres hackers) pour comparer leurs numéros avec ceux présents dans la base du réseau social.
A l’exception de l’échantillon fourni pour vérification par le terrible hacker, certains vont d’ailleurs jusqu’à supposer qu’une bonne partie des 3,8 milliards de numéros a simplement été générée aléatoirement et que l’auteur de la base joue simplement sur la probabilité que, sur le nombre de numéros qu’il propose à la vente, une certaine portion correspondra effectivement aux numéros d’utilisateurs de Clubhouse et de leurs contacts.