بعد أسبوع من إعلان تطبيق غرف الدردشة الصوتية الشهير Clubhouse أنه يتخذ خطوات لضمان عدم سرقة بيانات المستخدم من قبل قراصنة أو جواسيس ضارين، أثبت مهاجم واحد على الأقل أنه يمكن سرقة الصوت للمنصة.
وقد ذكرت المتحدثة الرسمية باسم Clubhouse ريما بهناسي (Reema Bahnasy)، تمكن مستخدم غير معروف على بث موجزات صوت Clubhouse في نهاية هذا الأسبوع من غرف متعددة إلى موقع ويب خاص بطرف ثالث.
وقد صرحت الشركة بأنها محظورة بشكل دائم على هذا المستخدم المحدد، ووضعت إجراءات وقائية جديدة لمنع تكرارالحادثة، ويؤكد الباحثون أن النظام الأساسي قد لا يكون في وضع يسمح له بتقديم مثل هذه الوعود.
قال مرصد ستانفورد للإنترنت، الذي كان أول من أثار المخاوف الأمنية علنًا في 13 شباط الماضي، في وقت متأخر يوم الأحد إن مستخدمي تطبيق iOS المخصص للمدعوين فقط يجب أن يفترضوا أنه يتم تسجيل جميع المحادثات.
وقد ذكر مدير الأمن السابق لشركة Facebook Inc و SIO، أليكس ستاموس (Alex Stamos) “لا يمكن لـ Clubhouse تقديم أي وعود بالخصوصية للمحادثات التي تُجرى في أي مكان حول العالم”.
تمكن ستاموس وفريقه أيضًا من تأكيد أن Clubhouse يعتمد على شركة ناشئة مقرها شنغهاي تسمى Agora Inc. للتعامل مع الكثير من عملياتها الخلفية. في حين أن Clubhouse مسؤول عن تجربة المستخدم الخاصة به، مثل إضافة أصدقاء جدد وإيجاد غرف، فإن النظام الأساسي يعتمد على الشركة الصينية لمعالجة حركة مرور البيانات وإنتاج الصوت، على حد قوله.
وأضاف إن اعتماد Clubhouse على Agora يثير مخاوف واسعة النطاق بشأن الخصوصية، خاصة بالنسبة للمواطنين الصينيين والمعارضين تحت الانطباع بأن محادثاتهم خارج نطاق مراقبة الدولة.
وبحسب Agora فإنه لا يمكن التعليق على بروتوكولات الأمان أو الخصوصية الخاصة بـ Clubhouse وأصرت على أنها لا تقوم بتخزين أو مشاركة معلومات التعريف الشخصية لأي من عملائها، والذي يعد Clubhouse واحدًا منهم فقط. وقالت الشركة: “نحن ملتزمون بجعل منتجاتنا آمنة قدر الإمكان”.
وقد لاحظ خبراء الأمن السيبراني خلال عطلة نهاية الأسبوع، أنه تم سحب الصوت والبيانات الوصفية من Clubhouse إلى موقع آخر.
قال روبرت بوتر (Robert Potter) الرئيس التنفيذي لِ Internet 2.0 الموجودة في استراليا، “قام مستخدم بإعداد طريقة لمشاركة معلومات تسجيل الدخول الخاصة به عن بُعد مع بقية العالم، المشكلة الحقيقية هي أن الناس اعتقدوا أن هذه المحادثات كانت خاصة بهم فقط.”
قام المتسلل المسؤل عن سرقة الصوت في نهاية الأسبوع ببناء نظامه الخاص حول مجموعة أدوات JavaScript المستخدمة لتجميع تطبيق Clubhouse. وذكر ستاموس إنهم زوروا المنصة بفعالية وقالت منظمة SIO إنها لم تحدد أصل أو هويات المهاجمين.
في حين رفض Clubhouse شرح الخطوات التي اتخذته لمنع حدوث اختراق مماثل، فقد شملت الحلول منع استخدام تطبيقات الطرف الثالث للوصول إلى صوت غرفة الدردشة دون الدخول فعليًا إلى الغرفة، أو ببساطة الحد من عدد الغرف التي يمكن للمستخدم الدخول إليها في وقت واحد، كما قال الباحث في SIO جاك كابل (Jack Cable).
قبل أسبوع، أصدرت SIO تقريرًا يقول إنها لاحظت البيانات الوصفية من غرفة دردشة Clubhouse يتم نقلها إلى خوادم نعتقد أنها مستضافة في الصين. وتبعًا لالتزامات Agora تجاه قوانين الأمن السيبراني في الصين، سيتم المطالبة بشكل قانوني في المساعدة بتحديد موقع الصوت إذا ادعت الحكومة أنه يعرض الأمن القومي للخطر.
وقد جمع Clubhouse مؤخرًا 100 مليون دولار عند تقييم يبلغ مليار دولار. وارتفعتAgora إلى أكثر من 150 بالمئة منذ منتصف شهر كانون الثاني. وتبلغ قيمتها الآن ما يقرب من 10 مليارات دولار.
في أوائل شهر شباط، قال مستخدمو Clubhouse في الصين إنهم لم يتمكنوا من الوصول إلى التطبيق بعد انفجار المناقشات من قبل مستخدمين الرئيسين حول مواضيع محظورة من تايوان إلى شينجيانغ. في الوقت الحالي يبدو أنه لا يزال بإمكان المستخدمين الوصول إلى التطبيق باستخدام الشبكات الخاصة الافتراضية، وهي إحدى الطرق القليلة التي يمكن للناس في الصين استكشاف الإنترنت فيها خارج جدار الحماية العظيم.