fbpx

SPIA

Clubhouse - riscurile de cybersecurity pentru companii

29 martie 2021

Clubhouse este noua rețea socială la modă, la care toată lumea vrea acces. Practic, Clubhouse este o aplicație – disponibilă doar pentru iPhone, la momentul redactării acestui articol – prin care utilizatorii pot folosi voice chat și pot intra în diverse chat rooms, pentru a interacţiona cu alți useri. Ca utilizator, îți poți crea propria cameră de conversații sau te poți alătura camerelor disponibile.

Sună simplu și fără probleme. Cu toate acestea, investigatorii privați și profesioniștii IT îți vor spune că toate rețelele sociale sunt supuse fraudelor și pot avea probleme de privacy (confidenţialitate) și/sau de securitate.

Pentru o companie, din punct de vedere al marketingului, orice rețea socială nouă reprezintă un bun prilej de promovare. Brandurile investesc eforturi și resurse umane, financiare și de timp în construirea unei prezenţe pe rețelele sociale, însă s-a dovedit de mai multe ori că a fi early adopter nu este întotdeauna cea mai bună soluție. Au existat multe platforme anunțate ca fiind the next big thing, următoarea mare inovaţie în materie de reţele sociale; Google Plus, Google Wave, Google Buzz, Vine, iTunes Ping, Diaspora, Yik Yak sau Orkut sunt doar câteva exemple. Influencerii şi business-urile şi-au dorit să se alăture acestor fenomene și să fie parte din conversație, tocmai pentru a nu rata trenul inovaţiei și pentru a fi prezenți pe orice platformă poate deveni relevantă pentru publicul lor. Multe au fost, însă, experimente eşuate, majoritatea platformelor enumerate anterior ajungând sa fie retrase de pe piaţă.

Momentan, nu știm cum va evolua noua rețea socială Clubhouse şi nici dacă merită efortul investiției în construirea unei prezenţe în acest mediu. Cu toate acestea, ca investigatori privați cu experienţă în zona de cybersecurity şi combaterea fraudelor pe internet, suntem interesaţi să explorăm fenomenul Clubhouse şi să investigăm riscurile de fraudare și vulnerabilităţile de securitate la care se expun, conștient sau nu, utilizatorii acestei reţele sociale audio.

Un prim motiv de îngrijorare ar fi securitatea platformei. În luna februarie a anului 2021, un utilizator Clubhouse a reușit să deturneze mai multe camere de chat şi să transmită live fluxul audio către un alt site. Un purtător de cuvânt al Clubhouse a declarat pentru Bloomberg că utilizatorul a fost eliminat din platformă și că s-au luat măsuri preventive.

Un alt incident, de data aceasta localizat în China, este legat de un utilizator care a creat un cod ce permitea celor care nu au primit invitaţie pe Clubhouse să asculte conversațiile din platformă și l-a postat pe GitHub. Între timp, codul a fost blocat, însă au apărut apoi clone ale acestuia.

Cercetătorii de la Observatorul de Internet al Stanford University au descoperit mai multe breșe de securitate ale Clubhouse, inclusiv faptul că ID-ul userilor din aplicație și ID-ul camerelor create se transmitea în format text, fără criptare, și puteau fi accesate cu uşurinţă de elemente ilicite. Cercetătorii au fost de asemenea îngrijorați de faptul că guvernul chinez ar putea avea acces la conversațiile din platformă, deoarece API-ul este deținut de compania Agora, ce are birouri atât în San Francisco, cât și în Shanghai. Nu în ultimul rând, guvernul chinez ar putea avea acces direct la fişierele audio înregistrate în urma sesiunilor de chat din Clubhouse.

În consecinţă, iată câteva recomandări privind utilizarea Clubhouse:

  • Cel mai corect mod de a folosi aplicația este prin înţelegerea şi acceptarea faptului că platforma nu este o sferă privată și că discuțiile purtate aici ar putea deveni oricând publice.
  • Atât termenii și condițiile de folosire a aplicației, cât și informațiile la care utilizatorii oferă acces, ar trebui să fie parcurse și luate la cunoștință de fiecare utilizator în parte, nu doar bifate în blind pentru a intra în aplicație. În mod ideal, un specialist în cybersecurity şi/sau investigaţii antifraudă din cadrul companiei studiază politicile Clubhouse, apoi informează organizația despre vulnerabilitățile aplicației și eventualele repercusiuni ce pot decurge din utilizarea acesteia.
  • Vânzarea de invitații pentru Clubhouse poate fi o sursă de fraudă, la fel și invitațiile pe aplicație, pentru Android. În acest moment, Clubhouse oferă suport exclusiv pentru iPhone, deci orice aplicaţie care oferă acces pe Android nu este oficială și nici sigură.
  • Aplicațiile de acest gen nu au încă implementat un sistem de verificare a utilizatorilor. Din acest motiv, vă recomandăm să verificați cu atenție identitatea celor cu care vorbiți și să vă asigurați că în spatele numelui de utilizator se află cu adevărat persoana a cărei identitate este folosită.
  • Multe persoane se grăbesc să ofere Clubhouse acces la agenda de contacte din telefon, în schimbul posibilităţii de a invita alţi utilizatori. Opţiunea de invite nu funcţionează dacă utilizatorul de Clubhouse nu oferă acces la agendă, însă acest acord reprezintă o încălcare a principiilor de privacy. Dacă un utilizator nu doreşte ca aplicaţia să colecteze toate informațiile despre contactele din agenda telefonului, acesta poate refuza să ofere acces.
  • Recomandăm companiilor care caută soluții tehnice pentru întâlniri și ședințe virtuale, să opteze pentru cele mai sigure soluții, nu pentru cele care sunt la modă. Informațiile de business sunt confidențiale, nu publice.


TrendMICRO a realizat un studiu privind riscurile de cybersecurity pentru rețelele sociale bazate pe voce, din care remarcăm următoarele concluzii:

  • Interceptarea traficului și a conversațiilor se poate realiza destul de ușor de către hackeri.
  • Impersonarea unei persoane publice și utilizarea de voce deepfake (clonarea vocii) este posibilă.
  • Există posibilitatea înregistrării conversațiilor și folosirea acestora în acte frauduloase, inclusiv pe Clubhouse, prin crearea de conturi false și utilizarea acestor înregistrări în scopuri ilicite.
  • Sunt posibile acte de hărțurire și de șantajare a unei persoane pe platforma Clubhouse.
  • Sunt utilizate metode ilicite de a căpăta o invitație la acest serviciu.


Investigatorii privați SPIA recomandă atenție în folosirea tuturor rețelelor sociale și tratarea oricăror informații furnizate ca fiind publice, nu private.