Через тиждень після того, як популярний додаток для аудіочатів Clubhouse заявив, що робить кроки для запобігання крадіжці даних користувача, принаймні один зловмисник довів, що може публікувати живе аудіо з платформи.
Невідомий користувач зміг транслювати аудіопотоки Clubhouse цими вихідними з «безлічі кімнат» на свій сторонній веб-сайт, повідомила прес-секретар Clubhouse Риму Банасі (Reema Bahnasy). Хоча компанія заявила, що «назавжди заблокувала» цього конкретного користувача і ввела нові заходи безпеки, щоб запобігти подібному, дослідники припускають, що платформа просто не в змозі давати такі обіцянки.
Користувачі доступного поки тільки на iOS додатку повинні спілкуватися з розрахунком на те, що всі розмови записуються - так вважають дослідники зі Стенфордського центру з вивчення політики щодо Інтернету (Stanford Internet Observatory, SIO), які 13 лютого вперше публічно висловили стурбованість з приводу безпеки. «Clubhouse не може давати ніяких обіцянок про конфіденційність розмов, що проводяться в будь-якій точці світу», - сказав директор SIO і колишній керівник служби безпеки Facebook Алекс Стамос (Alex Stamos).
Він зі своєю командою також зміг підтвердити, що Clubhouse покладається на стартап під назвою Agora, що знаходиться в Шанхаї, для виконання більшої частини своїх внутрішніх операцій. За його словами, в той час як Clubhouse відповідає за користувальницький інтерфейс (додавання нових друзів, пошук кімнат тощо), сама платформа покладається на китайську компанію для обробки всього трафіку даних і звуку. На думку пана Стамоса, залежність Clubhouse від Agora викликає серйозні побоювання з приводу конфіденційності, особливо для китайських громадян і дисидентів, які вважають, що їхні розмови знаходяться поза досяжністю держави.
Agora заявила, що не може коментувати протоколи безпеки або конфіденційності Clubhouse і наполягала на тому, що не зберігає і не передає особисту інформацію жодному зі своїх клієнтів (Clubhouse є лише одним з безлічі). «Ми прагнемо зробити наші продукти максимально безпечними», - заявили в компанії. Експерти SIO стверджують, що за китайськими законами Agora зобов'язана допомагати уряду у прослуховуванні та аналізі записів, якщо влада вважатиме це справою національної безпеки.
На вихідних експерти з кібербезпеки помітили, що звук і метадані з Clubhouse публікуються на іншому сайті. "Користувач налаштував можливість віддалено ділитися своїм логіном з іншим світом, - зазначив виконавчий директор Internet 2.0 з австралійської столиці Роберт Поттер (Robert Potter). - Ключова проблема полягає в тому, що люди думають, ніби всі їхні розмови через цю службу конфіденційні ".
Винуватець крадіжки аудіо на вихідних побудував свою власну систему на основі інструментарію JavaScript, який використовувався для компіляції програми Clubhouse. За словами пана Стамоса, він ефективно фальсифікував платформу. SIO заявила, що не встановила ні походження, ні особи зловмисників.
Хоча Clubhouse відмовилася пояснити, які кроки були зроблені для запобігання подібного, рішення можуть включати запобігання використання сторонніх додатків для доступу до аудіо в чаті без фактичного входу в кімнату або просто обмеження кількості кімнат, в які користувач може увійти одночасно.
Clubhouse зараз оцінюється в $10 млрд і нещодавно залучила $100 млн інвестицій. На початку лютого користувачі Clubhouse на материковому Китаї заявили, що не можуть отримати доступ до програми після різкого зростання обговорень табуйованих тем від Тайваню до Сіньцзяна. Поки, втім, до програми в Китаї можна отримати доступ через VPN.
