Clubhouse là một thảm họa riêng tư

特邀专栏作者

2021-03-28 13:43

Bài viết này có khoảng 2505 từ, đọc toàn bộ bài viết mất khoảng 4 phút

Báo cáo này không chỉ cho thấy Clubhouse có tiêu chuẩn bảo mật thấp hơn Facebook mà còn lưu trữ tin nhắn âm thanh của tất cả người dùng, buộc người dùng chia sẻ danh bạ của họ và dữ liệu cá nhân c

Tóm tắt AI

Mở rộng

Clubhouse là một nền tảng trò chuyện bằng giọng nói nhúng đã gây bão trên toàn thế giới. Cách tiếp cận trò chuyện bằng giọng nói đơn giản và hấp dẫn của nó đã mang lại cho Clubhouse hơn 10 triệu lượt tải xuống, nhưng thành công đó dựa trên rất nhiều sự thỏa hiệp.

Phân tích chuyên sâu về các báo cáo bảo vệ quyền riêng tư này không chỉ cho thấy rằng Clubhouse không đạt tiêu chuẩn về quyền riêng tư của Facebook mà còn lưu trữ tất cả các tin nhắn âm thanh, buộc người dùng chia sẻ danh bạ của họ và dữ liệu cá nhân của người dùng bị thu thập, theo dõi và chia sẻ ngẫu nhiên với những người khác một cách tàn nhẫn. người dùng.Công ty quảng cáo chia sẻ.

Câu lạc bộ đang lắng nghe

Bất chấp những tiến bộ lớn trong mã hóa hiện đại trong thập kỷ qua, Clubhouse thực hiện kém công việc bảo vệ tính bảo mật của thông tin liên lạc. WhatsApp của Facebook lần đầu tiên triển khai mã hóa đầu cuối vào năm 2014 - nghĩa là WhatsApp cũng không thể truy cập các cuộc trò chuyện của bạn. Ngay sau đó, một số nền tảng truyền thông khác đã làm theo. Bảy năm sau, Clubhouse đã thất bại trong việc áp dụng phương pháp bảo mật chủ đạo này và đã nhanh chóng mở rộng với chi phí là quyền riêng tư của bạn.

Ngoài khuyết điểm này, riêng ClubhouseChính sách bảo mật cũngQuy định:

Chúng tôi sẽ tạm thời ghi lại nội dung âm thanh trong khi phòng trò chuyện đang hoạt động chỉ nhằm mục đích hỗ trợ điều tra vụ việc. […] Chúng tôi sẽ xóa bản ghi âm tạm thời khi phòng trò chuyện bị đóng nếu không có sự cố nào cần điều tra trong phòng trò chuyện. […]

Điều này có nghĩa là tất cả các cuộc trò chuyện, kể cả những cuộc trò chuyện trong phòng trò chuyện riêng tư, đều được lưu vào đĩa. Mặc dù họ tuyên bố sẽ xóa các bản ghi khi chúng không còn cần thiết nữa, nhưng những loại tuyên bố này không thể được xác minh về bản chất và thường được chứng minh là không chính xác. Facebook trước đây đã tuyên bố băm tất cả mật khẩu trước khi lưu trữ chúng,Nhưng bởi vìVô tình lưu trữ hàng trăm triệu mật khẩu trong một số tệp nhật kýbị phạt 2,2 tỷ USD。

Thông thường, cơ sở hạ tầng máy chủ của hầu hết các dịch vụ Internet rất phức tạp, với lưu lượng được định tuyến qua một số proxy ngược khác nhau và các dịch vụ của bên thứ ba trước khi đến đích cuối cùng. Trong quá trình truyền dữ liệu, chúng tôi không biết liệu các điểm cuối này có vô tình lưu trữ một số thông tin cá nhân hay không. Ví dụ sau minh họa rõ hơn thực tế này:

Để giúp chúng tôi đáp ứng nhu cầu hoạt động kinh doanh của mình và chạy một số dịch vụ và chức năng nhất định, chúng tôi có thể chia sẻ dữ liệu cá nhân với các nhà cung cấp và nhà cung cấp dịch vụ, bao gồm nhà cung cấp dịch vụ lưu trữ, ứng dụng âm thanh và cơ sở hạ tầng, dịch vụ đám mây […]

Clubhouse thừa nhận rằng thông tin cá nhân của bạn không chỉ đi qua cơ sở hạ tầng của nó mà còn qua nhiều ứng dụng bên thứ ba khác, bao gồm các ứng dụng xử lý âm thanh trong phòng trò chuyện. Các bên thứ ba này không bắt buộc phải xóa dữ liệu cá nhân trong Chính sách quyền riêng tư này, vì vậy mặc dù chính Clubhouse có thể đã xóa nội dung âm thanh, nhưng bạn vẫn cần đặt niềm tin vào danh tiếng của "nhà cung cấp và nhà cung cấp dịch vụ" giấu tên.

Chính sách của họ nêu rõ rằng các bản ghi âm này được "mã hóa" mà không nêu chi tiết cách thức. Họ tuyên bố rõ ràng rằng nếu ít nhất một người dùng trong phòng trò chuyện phàn nàn về nội dung âm thanh của họ, thì Clubhouse sẽ nghe đoạn ghi âm. Điều này yêu cầu Clubhouse phải có khóa của tin nhắn được mã hóa này, vì họ cần giải mã nó để nghe. Điều này được gọi là "mã hóa phía máy chủ".

Giả sử bạn được đưa cho một chiếc két sắt, và bên cạnh chiếc két sắt là một mảnh giấy nhỏ có mã số két sắt, được đặt ngay ngắn trên bàn. Điều này có an toàn không? Đây là cách mã hóa phía máy chủ hoạt động. Ngược lại, nếu bạn vượt quaTrình nhắn tin được mã hóa như Trạng tháiGửi tin nhắn và khóa mã hóa đầu cuối này sẽ không bao giờ rời khỏi thiết bị của bạn và không ai ngoài bạn và người nhận dự định có thể giải mã tin nhắn.

Clubhouse đang thu thập dữ liệu của bạn

Sau khi tham gia Clubhouse, bạn cần cung cấp số điện thoại của mình. Mặc dù điều này có vẻ phổ biến trong thời đại ngày nay, nhưng việc họ thu thập thông tin gì không quan trọng bằng việc họ đang làm gì với thông tin đó. Ví dụ: mặc dù ứng dụng nhắn tin riêng tư Signal yêu cầu số điện thoại, nhưng cần thực hiện một số bước để đảm bảo số điện thoại của bạn không được liên kết với bất kỳ hoạt động nào của bạn. Nếu bạn muốn cung cấp cho Signal một số nhất định,nhiều nhất họ có thể nói với bạnCó cho dù số đó có phải là người dùng Signal hay không.

Clubhouse có thể làm nhiều việc với thông tin này:

họbán dữ liệu của bạnCho "các nền tảng truyền thông xã hội và các đối tác quảng cáo khác, những người sẽ sử dụng thông tin này để cung cấp cho bạn quảng cáo được nhắm mục tiêu".
Họ lưu trữ tất cả dữ liệu đã thu thập vô thời hạn theo chính sách lưu giữ của họ và không cung cấp bất kỳ cách nào trong ứng dụng để xóa tài khoản.
Họ sử dụng các hình ảnh theo dõi vô hình được gọi là pixel trong email của bạn, "những pixel này cho phép [họ] thu thập địa chỉ email và IP của bạn, cũng như ngày và giờ."
Họ tuyên bố rằng "những nỗ lực hợp lý về mặt thương mại đã được thực hiện để xác định và hỗ trợ tín hiệu" không theo dõi "," mặc dù thực tế là không thể bật tín hiệu này trong ứng dụng, nơi phần lớn hoạt động theo dõi diễn ra.

Mặc dù Clubhouse có chia sẻ dữ liệu rộng rãi nhưng họ cũng thực hiện các biện pháp thực thi để lấy được dữ liệu này. Khi bạn cố gắng mời những người dùng khác tham gia Clubhouse, bạn sẽ được yêu cầu chia sẻ toàn bộ danh sách liên hệ của mình, danh sách này sẽ được lưu trữ vô thời hạn trên máy chủ của họ và được chia sẻ với các đối tác quảng cáo của họ. Không thể mời nếu không có địa chỉ liên hệ được chia sẻ. Điều này thực sự có thể vi phạmChính sách của Apple về bảo vệ quyền riêng tư của người dùng。

App Store yêu cầu tất cả các ứng dụng yêu cầu một số quyền nhất địnhKhi bị từ chối, họ nên "thất bại một cách duyên dáng". Tức là, nếu ứng dụng máy tính khoa học của bạn yêu cầu vị trí chính xác của bạn và bạn từ chối, mọi thứ sẽ vẫn hoạt động đối với máy tính khoa học, vì rõ ràng là máy tính không cần vị trí của bạn. Ứng dụng Lần duy nhất chương trình có thể ngăn người dùng từ thực hiện một số hành động nhất định nếu chức năng cốt lõi yêu cầu quyền, chẳng hạn như ứng dụng máy ảnh yêu cầu quyền sử dụng máy ảnh.

Đối với Clubhouse, dường như không có lý do chính đáng nào để cần tất cả thông tin liên hệ của bạn chỉ để có thể mời những người dùng khác. Nếu bạn tham gia Clubhouse và trò chuyện với bạn bè của mình, dữ liệu duy nhất cần có là thông tin liên hệ của người bạn cụ thể đó. Những yêu cầu này của Clubhouse là những phương pháp tinh vi và có hại cho người dùng để thu thập càng nhiều thông tin cá nhân càng tốt.

Một cách sử dụng ngay lập tức có thể phát sinh là thông tin từ các địa chỉ liên hệ này được sử dụng để xây dựng biểu đồ xã hội và tạo điều kiện khám phá người dùng. Mặc dù việc sử dụng này có phần thực tế, nhưng nó tránh làm như vậy. Bởi vì trong gần bốn năm, công nghệ đã phát triển để cung cấp một biểu đồ xã hội như vậy mà không cần thu thập hoặc xem bất kỳ thông tin cá nhân nào. Signal lần đầu tiên công bốTính năng Khám phá Danh bạ Riêng tư, một tính năng cho phép người dùng dễ dàng kết nối với bạn bè và gia đình của họ mà không tiết lộ danh sách liên lạc của họ cho dịch vụ Signal. Kể từ đó, phương pháp này trở nên đơn giản và dễ sử dụng hơn.