К безопасности Clubhouse возникли вопросы: разговоры не записываются, но сервера можно взломать
По данным Bloomberg, на выходных, 20-21 февраля, неопознанный хакер смог взломать Clubhouse и получить доступ к засекреченной информации пользователей. Эксперты утверждают, что эта новость может негативно повлиять на популярность приложения, ведь его главным достоинством была именно конфиденциальность разговоров.
Программисты определили, что взломщик, скорее всего, находится в Китае. Захват аудиопотоков из приложения он организовал с помощью собственного веб-сайта. Компания уже заблокировала этого пользователя и сообщила, что внедрила новые «меры безопасности», чтобы в будущем предотвратить несанкционированный доступ к конфиденциальной информации.
Интересно, что этот инцидент произошел всего через неделю после того, как Clubhouse объявил об ужесточении мер безопасности. В числе нововведений было два важных пункта: запрет о передаче пингов на серверы в Китае и дополнительное шифрование для защиты разговоров от незаконного прослушивания.
Новые меры безопасности оказались не только бесполезными, но и весьма противоречивыми. К примеру, Стэндфордская интернет-обсерватория (SIO) подготовила отчет о том, что Clubhouse сотрудничает с китайской компанией Agora. Этот партнер предоставляет приложению серверную часть, поэтому принимает от него идентификационные номера пользователей, а также идентификаторы чатов в виде открытого текста. В Agora и Clubhouse это партнерство не прокомментировали.
В создании отчета SIO принимал участие Алекс Стамос (Alex Stamos), бывший руководитель службы безопасности Facebook. Он заявил, что Clubhouse не может гарантировать конфиденциальность разговоров, которые проводятся в любой стране мира. Он также рассказал о том, что ранее Clubhouse использовал недокументированные серверы, которыми управляет компания EnjoyVC. Никто не может с точностью сказать, какие услуги эта организация предоставляет приложению.
В Clubhouse прокомментировали разоблачающий отчет SIO и заявили, что у них нет серверов в Китае, поскольку приложение на данный момент официально не работает в этой стране. Представители компании добавили, что некоторые китайские пользователи нашли обходной путь для установки программы, поэтому разговоры, в которых они участвовали, действительно могли передаваться через местные серверы.
Эксперты допускают, что ситуация со взломом не повторится в ближайшее время и меры безопасности, принятые аудио-приложением, помогут бороться с хакерами. Но уже через некоторое время компании все же потребуется более широкий аудит, чтобы не растерять своих пользователей. Дело в том, что Twitter и Facebook уже изучают способы создания расширений для запуска живого аудиочата. Поэтому новые инциденты со взломом службы безопасности Clubhouse заставят пользователей задуматься о переходе на другие платформы.