Как выяснил Bloomberg, соцсеть Clubhouse допускает утечку разговоров, причём прослушать можно даже приватные комнаты, и участники бесед не узнают об этом.
Трансляции разговоров из комнат утекают на сторонние сайты, благодаря чему любой человек, даже не зарегистрированный в Clubhouse, может услышать, о чём говорят пользователи соцсети. Clubhouse банит пользователей, организовывающих утечку, но далеко не всегда сервису удаётся вычислить злоумышленников. Каким-то образом хакерам удаётся транслировать разговоры из комнат, попасть в которые можно только по приглашению от инициатора беседы. ИБ-специалисты сходятся во мнении, что Clubhouse вообще не может обеспечить конфиденциальность и отследить, каким образом происходит утечка трафика.
Проблема усугубляется тем, что Clubhouse использует технологии компании Agora, которая зарегистрирована в Шанхае и подчиняется китайским законам о кибербезопасности, обязывающим её открывать доступ к беседам властям Китая. С февраля Clubhouse заблокирован в Китае, причём блокировка была введена после того, как в соцсети начали обсуждать запрещённые темы (например, о независимости Тайваня или преследовании уйгуров). Китайцы по-прежнему заходят в Clubhouse, но для этого им приходится использовать VPN и другие методы обхода блокировки.
«Основная проблема Clubhouse на данный момент — в том, что приложение построено на базе двух облачных решений для передачи голоса и уведомлений от сторонних компаний, а соответственно втройне уязвимо перед потенциальными злоумышленниками. Дополнительным фактором сыграли опубликованные в конце прошлой недели технические спецификации и библиотека для работы с данными на Python (одном из самых популярных языков). Каким образом хакерам удалось получить доступ к аудио в закрытых каналах? Для передачи аудиопотока Clubhouse использует американо-китайскую платформу Agora. При подключении к беседе приложение генерирует ключ, состоящий из уникального номера самого приложения, пользователя и комнаты. Причем публичных — последние два видны всем желающим в незашифрованном виде», — прокомментировал Александр Крушин, разработчик аналитического сервиса ClubStat.org.