Clubhouse та цифрова безпека: спочатку сервіс, а захист даних… колись потім?

Діджитал-сервіси давно не бачили такого хайпу, який зчинила соцмережа Clubhouse. Інсайти по $800, вакансії фахівців по Clubhouse, сервіси для створення Clubhouse-біо. Цей інтерес частково підкріплений вірусністю Clubhouse і бажанням спробувати, що ж це таке – про що всі говорять. 

Хайп навколо Clubhouse не зменшується і напевне користувачів, які хочуть потрапити в це царство голосового спілкування не зупинять якісь проблеми з безпекою даних. Менше з тим, про них варто знати. Більше того – історія з хайпом навколо  показала, що розробники проекту про захист даних думають чи не в останню чергу. Щось подібне було минулого року, коли людство, закрите на карантин, дізналось назву Zoom, а розробники цього сервісу відеоконференцій зустрілися з неочікуваними викликами щодо безпеки свого додатку. 

Отже, Clubhouse та цифрова безпека – які існують ризики використання популярної соцмережі – зараз і в майбутньому? 

- інвайти за гроші та фішинг 

Доступ до Clubhouse лише по запрошенням від існуючих користувачів на фоні хайпу навколо проекту породив цілу індустрію продажу запрошень. В кращому випадку, можна заплатити гроші та отримати натомість запрошення до реєстрації. Проте уже є випадки, коли під ці інвайти маскуються фішингові посилання, що буде, коли перейти за цим посиланням, сказати важко – від крадіжки пошти до перехоплення контролю за пристроєм.

Можна припустити, що скоро з’являться електронні листи з небезпечними посиланнями, що експлуатуватимуть тему Clubhouse. 

- підробні посилання на Clubhouse-кімнати із знаменитостями 

Ще один ймовірний вектор атак, пов’язаний з Clubhouse – фішингові посилання на пошту та в месенджери із запрошенням у закриті Clubhouse-кімнати. Після переходу по цьому посиланню може пропонуватися ввести дані доступу до Clubhouse, в результаті користувач може втратити свій акаунт. 

Можна припустити, що допоки сервіс буде популярний та обмежений в доступі, і коли ним користуватимуться відомі люди, ці вектори атак будуть актуальні й надалі. 

- Clubhouse-клони в Play Market 

Ніби користувачі знають, що Clubhouse існує лише для iOS-пристроїв, в Google Play Market стали з’являтися Clubhouse-клони. Принаймні в пошукових пропозиціях на сайті є запит «Clubhouse audio chat» і клони, які маскуються під оригінал. Правда, є й сумна історія з розробником однойменного інструменту управління проектами, рейтинг якого постраждав від бажаючих завантажити неіснуючий Clubhouse для Android.

Можна припустити, що псевдо-Clubhouse-клони будуть з’являтися все активніше. 

- чи по-справжньому ефемерний контент Clubhouse? 

Соцмережа позиціонується як платформа з ефемерним контентом, тобто з таким, який не зберігається, а зникає після завершення бесіди. Проте поява в Мережі аудіо записів деяких кімнат (до прикладу, бесіди з Цукербергом) говорить про те, що ефемерність тут несправжня. 

Окрім того, в угоді Clubhouse з користувачами є згадка про те, що компанія записує активні розмови для розслідування можливих інцидентів. А якщо є скарги користувачів, то записи зберігаються, допоки не буде проведене розслідування. 

Можна припустити, що витоки з Clubhouse-кімнат траплятимуться все частіше 

- проблеми безпеки, виявлені Стенфордською інтернет-обсерваторією 

Про ці проблеми писали багато, серед них – використання серверів китайської компанії, недостатній рівень захисту трафіку, передача деяких чутливих даних у вигляді відкритого тексту. 

Чим більш популярним ставатиме Clubhouse, тим більше проблем безпеки буде виявлятися 

- доступ до контактів 

Одним із небажаних доступів, який запитує Clubhouse є доступ до контактів, це потрібно, щоб люди могли ділитися запрошеннями з іншими людьми. Хоча це викликає певні перестороги, адже в списку контактів можуть бути люди, взаємодія з якими в онлайн-просторі може бути не особливо бажана. 

- фейкові особистості 

Підробити голос сьогодні не складно, і ще одним потенційним ризиком Clubhouse може бути підробка голосу. Це власне відбулося недавно в російському сегменті мережі, де хтось видав себе за Аллу Пугачову. Така ситуація може стосуватися, швидше, відомих людей і ризик тут швидше репутаційний, проте ненульовий.  Особливо за умови, що ніякої верифікації у Clubhouse поки не передбачено.