Эксперты обнаружили проблемы с безопасностью в Clubhouse

Владелец TikTok заплатит $2 млн для урегулирования иска о сборе личных данных в США. Как пишет агентство Reuters, компания согласилась на мировое соглашение после судебного разбирательства, которое длилось более года.

В иске утверждалось что после установки на смартфон TikTok собирает личные данные пользователя, включая биометрические, а также фото, видео и аудиозаписи, данные буфера обмена, геолокационную информацию, список контактов из телефонной книги, адреса электронной почты, коды доступа к учетной записи в других социальных сетях и мессенджерах, а также другие данные, которые компания затем использует для рекламы и получения прибыли. В ByteDance отметили, что не согласны с этим утверждением, но судиться не захотели.

С претензиями по поводу безопасности данных столкнулся и еще один быстрорастущий сервис, Clubhouse. Голосовая соцсеть все еще находится в стадии бета-тестирования и доступна только обладателям iPhone. И если еще в начале февраля команда сообщала об аудитории в 2 млн пользователей, то сейчас платформу установили более 10 млн человек.

На фоне стремительного роста сервиса эксперты по кибербезопасности из Стэнфорда обнаружили, что Clubhouse передает данные в открытом виде без шифрования, записывает и хранит разговоры. В Clubhouse объясняют, что действительно хранят записи обсуждений для рассмотрения в случае жалоб по злоупотреблениям, типа разжигания ненависти.

Немало вопросов вызвал и тот факт, что приложение довольно агрессивно сканирует список контактов пользователей. Компания объясняет это необходимостью раздачи приглашений и увеличения аудитории. Исследователи также указали, что часть инфраструктуры Clubhouse находится в ведении фирмы Agora из Шанхая. Этот стартап продает другим фирмам доступ к платформе для обработки голоса и видео в реальном времени.

Собственно, благодаря этому сервисам типа Clubhouse не нужно создавать программную базу с нуля, но главная опасность тут по мнению экспертов в том, что данные приложения перемещались через сервер, расположенный в Китае, а так как компания обязалась подчиняться китайским законам, то если местное правительство посчитает какой-то разговор опасным для национальной безопасности, фирма позволит властям изучить запись.

Правда, в самой Agora говорят, что не хранят данных, если не считать тех, что нужны для отслеживания сетевой активности. В Clubhouse активно отвечают на запросы экспертов и рассказывают о том, что планируют сделать для усиления своей безопасности, в том числе — отключение эхо-запросов к серверам в Китае и усиление шифрования. Учитывая, что приложение не использует сквозное шифрование, исследователи делают вывод, что в Clubhouse просто не продумали должным образом свою безопасность и то, что можно было бы пропустить стартапу с сотней тысяч пользователей, уже нельзя допускать в сервисе с многомиллионной аудиторией.