Alors que le réseau social Clubhouse est en train d’être analysé par la CNIL, des millions de données personnelles se sont échappées dans la nature.
Bien que la société Alpha Exploration Co qui est à l’origine de l’application Clubhouse travaille sur la sécurité de ses utilisateurs, un drame vient mettre tout ce travail au placard. Le média CyberNews a annoncé le 10 avril 2021 que le réseau social a perdu près de 1,3 million de données personnelles. Le réseau social n’arrête pas pour autant de développer l’application Android de Clubhouse qui doit sortir en mai.
Le réseau social Clubhouse s’est alors penché sur cette fuite de données personnelles afin de colmater au plus vite cette (immense) brèche. Après quelques heures à chercher le problème, il s’avère que la fuite de données personnelles qui a provoqué une colère auprès des utilisateurs provient de la clé API. Clubhouse l’a d’ailleurs confirmé depuis son compte Twitter le 11 avril 2021 déclarant que : « C’est faux, Clubhouse n’a pas été piraté. Les données personnelles qui ont “fuité” proviennent des profils publics accessibles depuis l’application ou depuis la clé API ». Cet évènement montre par la même occasion que la clé API n’est pas assez sécurisée et permet à quiconque d’obtenir des données.
This is misleading and false. Clubhouse has not been breached or hacked. The data referred to is all public profile information from our app, which anyone can access via the app or our API. https://t.co/I1OfPyc0Bo
— Clubhouse (@joinClubhouse) April 11, 2021
Les données personnelles qui ont été lâchées dans la nature sont notamment le nom, le pseudo, l’URL de la photo, le nom de compte Twitter, le nom de compte d’Instagram ainsi que d’autres informations. Pour l’heure, Clubhouse n’a pas communiqué d’autres informations à ce sujet. Néanmoins, cela pourrait en l’occurrence mettre en cause la politique de confidentialité concernant l’utilisation de la clé API.
La Commission nationale de l’informatique et des libertés a ouvert une enquête concernant diverses plaintes vis-à-vis des données exploitables par le biais de l’application. Les auteurs de cette plainte ne se sont pas fait connaître. Néanmoins, cela a suffisamment intrigué la CNIL pour intervenir au plus vite.
L’organisme devra donc vérifier si Alpha Exploration Co respecte bien le RGPD. D’ailleurs, les premières démarches de la CNIL ont permis de mettre en avant le fait que la société n’est pas présente en France. Pour rappel, une société qui n’est pas établie en France n’est pas dans l’obligation de respecter le RGPD. Cependant, la CNIL pourrait sévir en cas de problème important mettant les données personnelles des habitants européens en danger.
13/04/2021 06:40 PM
2014 © Applications françaises