Clubhouse est une application qui a littéralement explosé au cours du confinement : l'application propose l'accès à des salons vocaux en tant qu'auditeur ou participant et a fait le buzz avec son accès exclusivement sur invitation.
Néanmoins, la sécurité de l'application a rapidement été critiquée avec plusieurs piratages d'envergure impliquant la fuite de nombreuses données d'utilisateurs.
Des piratages qui trouvent désormais des échos sur le Darknet avec la mise en vente d'un lot constitué de 3,8 millions de numéros de téléphone d'utilisateurs de Clubhouse.
Ces numéros ne sont vraisemblablement pas associés à d'autres informations, il serait impossible de les associer à des noms par exemple, ou même pseudos ou adresses mail. Reste que l'utilisation de ces numéros de téléphone pour des campagnes de phishing est possible.
Les pirates ont partagé un lot de 80 millions de numéros concernant le japon en guise de preuve.
Mais comment le lot peut-il contenir 3,8 milliards de numéros si l'application ne regroupe que quelques dizaines de millions d'utilisateurs ? Et bien parce que les numéros aspirés concernent les utilisateurs ainsi que leur carnet de contacts. L'application demande ainsi accès au répertoire de l'utilisateur lors de son installation, la base de données concerne ainsi chaque utilisateur de Clubhouse ainsi que l'ensemble de ses contacts, même s'ils ne sont pas sur le réseau. Cela implique par ailleurs la présence de numéros mobiles et fixes dans le lot proposé, et notamment la présence de numéros professionnels particulièrement prisés des cybercriminels.
