Центр по изучению политики в отношении интернета Stanford Internet Observatory (SIO) выявил потенциальную уязвимость в голосовой соцсети Clubhouse, которая позволяет получить доступ к необработанным данным пользователей со стороны властей Китая, пишет Forbes.
«Мы изучили методы защиты данных и обнаружили потенциальный риск для пользователей из материкового Китая», — сообщил SIO в Twitter.
SIO подтвердил, что «платформу взаимодействия с голосом и видео в реальном времени» и серверную инфраструктуру для Clubhouse предоставляет стартап из Шанхая с офисами в Кремниевой долине Agora Inc. При этом ID пользователей передаются в виде открытого текста через интернет, что делает их перехват «тривиальным». «Любой наблюдатель интернет-трафика может легко сопоставить идентификаторы в общих чатах, чтобы увидеть, кто с кем разговаривает», — отметили аналитики SIO.
Они сообщили, что сумели зафиксировать, как метаданные из чата клуба «ретранслируются на серверы», которые, скорее всего, находятся в Китае. «Любые незашифрованные данные, которые передаются через серверы в КНР, вероятно, будут доступны правительству Китая», — отмечается в отчете SIO.
В SIO считают, что Agora, скорее всего, имеет доступ к необработанным звуковым файлам пользователей и потенциально может предоставить к ним доступ правительствe Китая, так как по китайским законам должна помогать правительству в обнаружении звуковых сообщений, которые, по мнению властей, ставят под угрозу национальную безопасность.
Агентство Bloomberg запросило у Agora комментарий по поводу выводов SIO, но пока не получило на них ответа.
Ранее компания заверила SIO, что использует аудио и метаданные пользователей только для «мониторинга качества сети и выставления счетов своим клиентам», и поэтому не имеет никакой информации о пользователях, которую мог бы запросить Пекин. И сообщила, что до тех пор, пока аудио хранятся в США, маловероятно, что китайское правительство сможет получить к ним доступ.
Получив эту информацию, приложение Clubhouse пообещало в течение 72 часов добавить «дополнительное шифрование», чтобы аудио пользователей соцсети никогда не передавались на китайские серверы. Также компания планирует привлечь службу кибербезопасности для проверки эффективности этих мер.
Clubhouse создали два выпускника Стэнфорда, работавшие в разных технологических компаниях в Кремниевой долине (в том числе в Google и Pinterest). Совместную компанию Alpha Exploration Co, которой принадлежит Clubhouse, они основали в феврале 2020 года. Недавно Clubhouse привлек $100 млн и был оценен в $1 млрд. Акции Agora с середины января выросла более чем на 150%, и сейчас компания стоит почти $11 млрд.