В Clubhouse обнаружили уязвимость, из-за которой Китай может получить доступ к данным пользователей

В Центре по изучению политики в отношении интернета Stanford Internet Observatory (SIO) из США исследовали методы защиты данных социальной сети Clubhouse и обнаружили потенциальный риск для пользователей из материкового Китая. Специалисты подозревают, что власти Поднебесной могут использовать эту уязвимость для получения доступа к данным.

О том, что такое Clubhouse, и как платформа набирает популярность, можно прочитать здесь:

По информации, которую узнали в SIO, серверную инфраструктуру для Clubhouse предоставляет стартап из Шанхая Agora Inc, которая также имеет офисы в Силиконовой долине. При этом ID пользователей и чатов передаются в виде открытого текста через интернет, что упрощает их перехват злоумышленниками:

Любой наблюдатель интернет-трафика может легко сопоставить идентификаторы в общих чатах, чтобы увидеть, кто с кем разговаривает.

Скорее всего, Agora имеет доступ к необработанным звуковым файлам пользователей, считают исследователи. В случае хранения серверов в Китае, это создаёт потенциальную опасность предоставления китайским властям доступа к данным. По законам страны, компания обязана будет помогать правительству в обнаружении звуковых сообщений, которые ставят под угрозу национальную безопасность.

Но Agora заверила SIO, что аудио и метаданные пользователей используются только для «мониторинга качества сети и выставления счетов своим клиентам», поэтому не содержит никакой полезной для Пекина информации о пользователях. Кроме того, компания сообщила, что аудио хранятся в США, из-за чего маловероятно, что китайское правительство сможет получить к ним доступ.

Тем временем в Clubhouse пообещали в течение 72 часов добавить «дополнительное шифрование», чтобы исключить передачу аудио пользователей на китайские серверы.