Los creadores de Clubhouse ya fueron advertidos de la falta de seguridad de la aplicación, que hacía que los datos de los usuarios fuesen vulnerables. Ahora, la brecha de seguridad ha quedado comprobada después de que un usuario de la plataforma transmitiese el audio de una sala de Clubhouse a través de una web de terceros.
Una semana después de que una investigación sacase a relucir los problemas de privacidad de Clubhouse y que la misma asegurase que trabajaría para ponerles solución, la aplicación ha confirmado que uno de sus usuarios fue capaz desviar las señales de audio de la aplicación y hacerlas accesibles en un sitio web de terceros. Esto ha reavivado las preocupaciones por la seguridad de la plataforma.
📢 New work out today from our Tech team & China research team: @joinClubhouse app recently became popular in 🇨🇳. We looked at its data security practices & found a potential risk to mainland Chinese users.
Here are our key findings 👋🧵⤵️
(1/8)
— Stanford Internet Observatory (@stanfordio) February 13, 2021
Según ha indicado Reema Bahnasy, portavoz de Clubhouse, al portal estadounidense de información financiera Bloomberg, «varias salas» se vieron afectadas por lo sucedido y el usuario detrás de la infracción ha sido «expulsado permanentemente». Aunque Clubhouse afirma que ha aplicado nuevas medidas de seguridad para evitar que se repita, es posible que la plataforma no esté en condiciones de hacer tales promesas.
Qué ocurrió durante la brecha de seguridad
Durante el fin de semana, expertos en ciberseguridad se dieron cuenta de que el audio y los metadatos de la plataforma se estaban trasladando de Clubhouse a otro sitio. «Un usuario configuró una forma de compartir de forma remota su inicio de sesión con el resto del mundo», indicó Robert Potter, director ejecutivo de Internet 2.0 con sede en Canberra, Australia. «El verdadero problema era que la gente pensaba que estas conversaciones eran privadas«.
El culpable del robo del audio construyó su propio sistema en torno al JavaScript utilizado para compilar la aplicación Clubhouse y manipuló la plataforma. El Observatorio de Internet de Stanford, la primera institución en mostrar preocupaciones por la seguridad de la aplicación, dijo que no determinó el origen o las identidades de los atacantes.
Aunque Clubhouse se ha negado a explicar qué medidas ha tomado para evitar que ocurra una infracción similar, las soluciones pueden incluir evitar el uso de aplicaciones de terceros para acceder al audio de una sala sin realmente ingresar en la misma. También pueden haber limitado la cantidad de salas a las que un usuario puede ingresar simultáneamente, según indicó Jack Cable, investigador del Observatorio de Internet de Stanford.
Qué supone lo ocurrido para los usuarios
Tras esta brecha en la seguridad de Clubhouse, los usuarios de la aplicación para iOS deben asumir que todas sus conversaciones se están grabando, según ha indicado el Observatorio de Internet de Stanford. «Clubhouse no puede ofrecer ninguna promesa de privacidad para las conversaciones mantenidas en cualquier lugar del mundo», dijo Alex Stamos, director de SIO y exjefe de seguridad de Facebook.
Esto es especialmente importante para cualquier ciudadano chino o disidente que utilice la aplicación, o cualquier usuario preocupado por la vigilancia estatal, ya que Clubhouse depende de una startup con sede en Shanghai llamada Agora para manejar gran parte de sus operaciones de back-end. Aunque Clubhouse es responsable de la experiencia de usuario, depende de la compañía china para procesar su tráfico de datos y producción de audio.
Agora está obligada a cumplir las leyes de seguridad de China, por lo que deben dar acceso a toda la información solicitada por las autoridades si éstas creen que los mensajes pueden representar una amenaza para la seguridad nacional. Aunque Clubhouse está bloqueado en China, los usuarios aún pueden acceder al servicio a través de VPN, según indica The Verge.
Es posible que esta violación de la seguridad de la plataforma haga que sus usuarios se planteen sustituirla por alguno de los competidores de Clubhouse que están empezando a surgir, como Twitter Spaces.
