Klubimaja sotsiaalvõrgustik on viimastel nädalatel muutunud üheks enim arutatud mitte ainult maailmas, vaid ka Runetis: Elon Musk kutsub Vladimir Putinit vestlema, Mark Zuckerberg käskis luua sarnase suhtlusvõrgustiku ja Vladimir Solovjov ähvardab keelu saamise tõttu bioniklite pead maha rebida.
Sellest hoolimata ähvardab see kõlav edu muutuda absoluutseks läbikukkumiseks, sest koos laiema avalikkuse tähelepanuga on võrk äratanud infoturbespetsialistide huvi. Ja nagu selgus, pole huvi alusetu.
Isikuandmete edastamine Hiinas asuvatesse serveritesse
Stanfordi ülikooli Interneti-observatooriumi meeskond on avastanud seose sotsiaalvõrgustiku ja Shanghais asuva idufirma vahel. Nagu selgus, kasutab Clubhouse reaalajas suhtlemiseks Agora platvormi infrastruktuuri, mis teadlasi hoiatas. Pealegi pole sotsiaalvõrgustiku privaatsuspoliitikas mainitud startupiga koostööst sõnagi.
Üksikasjalikum analüüs andis märkimisväärseid tulemusi – unikaalsed kasutajatunnused ja ruumid saadetakse Agora serveritesse krüptimata ning serverid saavad andmeid kasutajate füüsilisest asukohast sõltumata. See avastati kontrolli käigus, mille käigus viibisid ruumis ainult USA klubimaja kasutajad.
Uurimisandmete põhjal väidavad eksperdid, et lisaks kasutajateabele võib Agoral olla juurdepääs vestluste helisalvestistele, kuid nad ei suutnud seda kinnitada.
Clubhouse’i reaktsioon uuringule ei lasknud end kaua oodata: juhtkond kinnitab, et vestluste privaatsus on suhtlusvõrgustiku üks prioriteete, samas ei teadvusta turvaprobleeme, eelistades sõnastust "parendusvaldkonnad". Sellegipoolest lubas ettevõte probleemid lühikese aja jooksul lahendada ning palgata kontrollimiseks sõltumatud infoturbeeksperdid.
Näib, et juhtum on lahendatud – probleemid on kõrvaldatud, vestluste helisalvestised on turvalised … Ja tõepoolest, see ainult näis.
Häkkeritel õnnestus klubimaja ruumides vestlusi salvestada
Muidugi saab iga sotsiaalvõrgustiku kogenud kasutaja vestluse salvestada ruumis, kus ta asub – vestluste salvestamiseks on piisavalt rakendusi. Häkkerid läksid kaugemale: eraldi ruumis vestluse salvestamise asemel õnnestus neil tuua helivoog mitmest ruumist korraga oma veebiressurssi.
Peaaegu samaaegselt nendega kirjutas üks Hiina kasutaja koodi, mis võimaldab kõigil klubimajas ilma kutseta dialooge kuulata, ja postitas selle GitHubisse.
Nagu ka eelmisel juhul, töötas Clubhouse kiiresti: haavatavused parandati vaid päevaga ja helivoo väljastanud kasutaja keelati. Samas pole teada, kui kaua võivad teised häkkerid neid turvaauke ära kasutada.
Tähelepanuväärne on, et uus skandaal tekitas suuremat arutelu: andmekaitsekonsultatsioonifirma PIX LLC tegevjuht ütles, et Clubhouse ei pööranud privaatsuspoliitikale piisavalt tähelepanu – kuna rakendus ei kogu mitte ainult isikuandmeid, vaid ka kontaktide loendit. Veelgi enam, Clubhouse nõuab juurdepääsu Twitteri konto teabele, kuid ei selgita seda vajadust kuidagi.
Selle tulemusena on spetsialistid esitanud palju nõudeid kasutajaandmete kaitse ja vestluste konfidentsiaalsuse kohta, kuid enamik neist ei kujuta endast olulist ohtu. Kuid huvi, mis Clubhouse’i äratas, ei lähe asjata ning entusiastid loovad üha uusi viise, kuidas sotsiaalvõrgustiku kaitsest mööda hiilida.
Telegrami bot vestluste salvestamiseks Klubimajas
Teisel päeval tutvustas entusiast telegrammirobotit, mis võimaldab klubimajas vestlusi salvestada. Sellega töötamine on ülilihtne: tuleb saata link aktiivsesse jututuppa, misjärel bot liitub konverentsiga ja hakkab salvestama. Vestluse lõpus saadab bot tagasi ühe või mitu heliriba koos vestluse salvestisega.
Arendaja väidab, et robot ei riku sotsiaalse võrgustiku reegleid, kuna hoiatab kõigi osalejate kirjaliku nõusoleku vajadusest vestluse salvestamiseks, kuid see ei täpsusta, kuidas robot jututuppa pääseb. Eks aja jooksul saame teada, kui palju Clubhouse’i esindajad entusiasti arvamust jagavad.
Klubimaja: turvaline või mitte?
Sellele küsimusele ei ole veel võimalik ühemõtteliselt vastata – sotsiaalvõrgustik on alles populaarsust kogunud ja seda peab vaid aeg proovile panema. Nagu igal teemal, on ka mündil kaks külge: ühelt poolt on palju küsimusi mitte ainult privaatsuspoliitika, vaid ka tegeliku andmekaitse kohta; teisest küljest reageerib ettevõte esilekerkivatele probleemidele kiiresti ja lahendab need lühikese ajaga.
Olemasoleva teabe põhjal saab Clubhouse’i kasutada vaba aja veetmiseks – huvitavate esinejate kuulamiseks ja võib-olla isegi huvipakkuvate teemade vestluses osalemiseks. Samal ajal ei ole soovitatav seda suhtlusvõrgustikku kasutada professionaalseks tegevuseks, sest vaatamata esilekerkivate probleemide kiirele lahendamisele on neid siiski piisavalt – mis tähendab , et ettevõte ei saa tagada teie vestluste ega andmete turvalisust.