W ciągu ostatnich kilku tygodni portal społecznościowy Clubhouse stał się jednym z najbardziej dyskutowanych nie tylko na świecie, ale także w Runecie: Elon Musk zaprasza Władimira Putina na czat, Mark Zuckerberg nakazał utworzenie podobnego portalu społecznościowego, a Władimir Sołowiow grozi oderwaniem głów bionicles z powodu bycia zbanowanym.
Niemniej jednak ten spektakularny sukces grozi całkowitą porażką, ponieważ wraz z zainteresowaniem opinii publicznej sieć wzbudziła zainteresowanie specjalistów ds. bezpieczeństwa informacji. I jak się okazało, zainteresowanie nie jest bezpodstawne.
Przekazywanie danych osobowych na serwery w Chinach
Zespół z Obserwatorium Internetowego Uniwersytetu Stanforda odkrył związek między siecią społecznościową a start-upem z Szanghaju. Jak się okazało, Clubhouse wykorzystuje infrastrukturę platformy Agora do komunikacji w czasie rzeczywistym, co zaalarmowało badaczy. Ponadto w polityce prywatności portalu społecznościowego nie ma ani słowa o współpracy ze wspomnianym startupem.
Bardziej szczegółowa analiza doprowadziła do znaczących wyników – unikalne identyfikatory użytkowników i pokoje są przesyłane na serwery Agory w postaci niezaszyfrowanej, a serwery otrzymują dane niezależnie od fizycznej lokalizacji użytkowników. Zostało to odkryte podczas odprawy, podczas której w pokoju byli tylko użytkownicy US Clubhouse.
Na podstawie danych z badań eksperci sugerują, że oprócz informacji o użytkownikach Agora może mieć dostęp do nagrań audio rozmów, ale nie byli w stanie tego potwierdzić.
Na reakcję Clubhouse na badanie nie trzeba było długo czekać: kierownictwo zapewnia, że prywatność rozmów jest jednym z priorytetów sieci społecznościowej, jednocześnie nie dostrzegając problemów z bezpieczeństwem, preferując sformułowanie „obszary do poprawy". Mimo to firma obiecała rozwiązać problemy w krótkim czasie i zatrudnić niezależnych ekspertów ds. bezpieczeństwa informacji do sprawdzenia.
Wydawać by się mogło, że sprawa została załatwiona – problemy zostały wyeliminowane, nagrania rozmów są bezpieczne… I rzeczywiście, tylko tak się wydawało.
Hakerom udało się nagrać rozmowy w pomieszczeniach Klubu
Oczywiście każdy zaawansowany użytkownik sieci społecznościowej może nagrywać rozmowę w pokoju, w którym się znajduje – aplikacji do nagrywania rozmów jest wystarczająco dużo. Hakerzy poszli dalej: zamiast nagrywać rozmowę w oddzielnym pokoju, udało im się przenieść strumień audio z kilku pokoi jednocześnie do swojego zasobu sieciowego.
Niemal równocześnie z nimi chiński użytkownik napisał kod, który pozwala każdemu słuchać dialogów w Domu Klubowym bez zaproszenia, i umieścił go na GitHubie.
Podobnie jak w poprzednim przypadku, Clubhouse zadziałał szybko: luki w zabezpieczeniach zostały usunięte w ciągu zaledwie jednego dnia, a użytkownik, który wygenerował strumień audio, został zbanowany. Nie wiadomo jednak, jak długo luki te mogą być wykorzystywane przez innych hakerów.
Warto zauważyć, że nowa afera wywołała szerszą dyskusję: szef firmy konsultingowej PIX LLC ds. ochrony danych powiedział, że Clubhouse nie zwraca należytej uwagi na politykę prywatności – ponieważ aplikacja gromadzi nie tylko dane osobowe, ale także listę kontaktów. Ponadto Clubhouse wymaga dostępu do informacji o koncie na Twitterze, ale w żaden sposób nie wyjaśnia tej potrzeby.
W rezultacie specjaliści wysunęli wiele roszczeń dotyczących ochrony danych użytkowników i poufności rozmów, ale większość z nich nie stwarza istotnego zagrożenia. Jednak zainteresowanie, które przyciągnęło Clubhouse, nie idzie na marne, a entuzjaści tworzą coraz to nowe sposoby na obejście zabezpieczeń sieci społecznościowej.
Telegram bot do nagrywania rozmów w Clubhouse
Pewnego dnia pewien entuzjasta przedstawił telegramowego bota, który pozwala nagrywać rozmowy w Domu-Klubie. Praca z nim jest niezwykle prosta: wystarczy wysłać link do aktywnego pokoju rozmów, po czym bot dołączy do konferencji i rozpocznie nagrywanie. Na koniec rozmowy bot odeśle jedną lub więcej ścieżek audio z nagraniem rozmowy.
Deweloper twierdzi, że bot nie łamie zasad sieci społecznościowej, gdyż ostrzega przed koniecznością pisemnej zgody wszystkich uczestników na nagrywanie rozmowy, ale nie precyzuje, w jaki sposób bot uzyskuje dostęp do pokoju rozmów. Cóż, z czasem przekonamy się, jak bardzo przedstawiciele Clubhouse podzielają opinię entuzjasty.
Dom klubowy: bezpieczny czy nie?
Nie da się jeszcze jednoznacznie odpowiedzieć na to pytanie – portal społecznościowy dopiero zyskał na popularności i dopiero czas to sprawdzi. Jak w przypadku każdego problemu, są dwie strony medalu: z jednej strony pojawia się wiele pytań nie tylko o politykę prywatności, ale także o rzeczywistą ochronę danych; z drugiej strony firma szybko reaguje na pojawiające się problemy i rozwiązuje je w krótkim czasie.
Bazując na dostępnych informacjach, Clubhouse może służyć rekreacyjnie – do słuchania ciekawych prelegentów, a może nawet do uczestniczenia w rozmowie na interesujące nas tematy. Jednocześnie nie zaleca się wykorzystywania tego portalu społecznościowego do działań zawodowych, ponieważ pomimo szybkiego rozwiązywania pojawiających się problemów, wciąż jest ich wystarczająco dużo – co oznacza , że firma nie może zagwarantować bezpieczeństwa Twoich rozmów lub danych.