Защита подвела: неизвестный «слил» аудиочаты из Clubhouse

Злоумышленник стримил чаты из Clubhouse вопреки запрету

Florian Gaertner/photothek.de/Global Look Press
Несмотря на то что запись и сохранение чатов в социальной сети Clubhouse запрещены, по крайней мере одному пользователю сервиса удалось обойти ограничение и настроить стриминг аудио в реальном времени, которое транслировалось на сторонний чат. Впрочем, это уже не первая проблема с приватностью с Clubhouse, о которой писала пресса в последние пару недель.

Спустя всего неделю после того, как руководство набирающего популярность сервиса Clubhouse пообещало принять меры по защите пользовательских данных, стало известно об уязвимости, которая позволяет «сливать» аудиочаты в прямом эфире, сообщает Bloomberg

Неизвестный злоумышленник смог воспользоваться существующей уязвимостью и провел трансляцию аудиочатов из нескольких комнат на своем сайте. Эту информацию подтвердила представитель Clubhouse Рима Банази. По правилам сервиса, чаты, которые проводятся на платформе, не могут сохраняться и распространяться на других площадках.

Несмотря на то что компания «навсегда заблокировала» недобросовестного пользователя и установила новые меры безопасности, пообещав, что такая ситуация не повторится, ИБ-исследователи предупреждают, что Clubhouse может и не сдержать свое обещание.

Все пользователи модного сервиса должны держать в уме, что все их разговоры так или иначе записываются, предупреждает Stanford Internet Observatory — специальное подразделение Стэнфордского университета, занимающееся изучением интернета и возможных злоупотреблений. 

«Clubhouse не может давать никаких обещаний касательно защиты пользовательских чатов», — предупреждает директор SIO Алекс Стамос, который ранее занимал должность руководителя отдела по вопросам информационной безопасности компании Facebook (владелец компания Meta признана в России экстремистской и запрещена).

Ранее команда Стамоса смогла установить, что поставщиком серверной инфраструктуры для Clubhouse является стартап Agora Inc., базирующийся в Шанхае. В то время как сам Clubhouse отвечает за пользовательский опыт, вроде добавления новых друзей и поиска комнат для общения, китайская компания обрабатывает весь трафик сервиса, а также все аудиозаписи. 

Зависимость Clubhouse от Agora поднимает вопрос о сохранности личных данных пользователей, так как метаданные из социальной сети передавались на серверы, которые находятся в КНР, что потенциально дает местным властям доступ к ним.

Поскольку Agora — китайская компания, она юридически обязана помогать правительству Китая находить аудиозаписи, если власти заявят, что эти сообщения представляют угрозу национальной безопасности.

Между тем, несмотря на предупреждения экспертов по кибербезопасности, популярность Clubhouse среди пользователей продолжает расти. Как сообщили в аналитической компании App Annie, количество глобальных установок сервиса в период с 1 по 16 февраля выросло с 3,5 млн раз до 8,1 млн. Это довольно впечатляющий результат, учитывая, что приложение доступно только на платформе iOS, а зарегистрироваться в нем можно только по приглашению от другого человека.

Из-за подобной эксклюзивности членства в Clubhouse в интернете, в том числе и в российском его сегменте, появилось большое количество мошенников, которые продают поддельные инвайты для социальной сети. Ранее «Газета.Ru» рассказывала о том, как киберпреступники пользуются популярностью Clubhouse, чтобы обманывать пользователей.