كلوب هاوس: ثغرة أمنية في التطبيق الصوتي سمحت بتسريب بيانات مستخدمين

وقالت الشركة صاحبة التطبيق إنها أطلقت “إجراءات حماية” جديدة لمنع بث المحادثات مرة أخرى.

واتصلت بي بي سي بكلوب هاوس للإدلاء بتعليق.

وكان مرصد الإنترنت التابع لجامعة ستانفورد أول من أبلغ عن الواقعة، بيد أن ديفيد ثيل، رئيس التكنولوجيا في البرنامج، أكد أن تسريب البيانات لم يكن ضارا أو “اختراقا”، وأضاف أنه لم يكن أكثر من انتهاك مستخدم لشروط استخدام تطبيق كلوب هاوس.

وشاطره الرأي روبرت بوتر، الباحث الأسترالي في مجال الأمن الإلكتروني، الذي صمم مركز عمليات الأمن الإلكتروني لصحيفة “واشنطن بوست”.

وفسر قائلا إن “تسريب البيانات” مختلف عن “اختراق البيانات”، إذ ينطوي الأخير على تعمد شخص ما اختراق نظام لسرقة بيانات.

من ناحية أخرى، فإن تسريب البيانات واقعة تنطوي على إفشاء معلومات سرية في بيئة غير مصرح لها معرفة تلك المعلومات.

وقال بوتر إن الواقعة حدثت لأن المستخدم أدرك أنه من الممكن المشاركة في غرف دردشة متعددة في آن واحد.

ومن خلال معرفة طريقة عمل ذلك، يستطيع المستخدم ربط التطبيق بموقعه على الإنترنت، و”مشاركة” معلومات تسجيل الدخول الخاصة به عن بُعد مع أي شخص آخر على الإنترنت يرغب في الاستماع إلى دردشات صوتية من التطبيق.

تأتي واقعة تسريب البيانات يوم الأحد بعد أن قدم تطبيق كلوب هاوس ضمانات أكد بها عدم إمكانية سرقة بيانات المستخدم من جانب مجرمي الإنترنت أو قراصنة ترعاهم دول، وذلك ردا على تحذير من مرصد الإنترنت التابع لجامعة ستانفورد، الذي يرأسه أليكس ستاموس، مدير الأمن السابق في شركة فيسبوك.

واكتشف باحثو الأمن الإلكتروني في جامعة ستانفورد العديد من الثغرات الأمنية، من بينها أن أرقام تحديد الهوية الخاصة بالمستخدمين وأرقام تحديد الهوية لغرف الدردشة في كلوب هاوس التي أنشأوها، كانت تُنقل على هيئة نص عادي، الأمر الذي قد يسمح بربط هويات بملفات تعريف مستخدم معين.

كما أعرب الباحثون عن قلقهم بشأن إمكانية وصول الحكومة الصينية إلى الملفات الصوتية الأولية على خوادم كلوب هاوس، لأن أساس البنية التحتية للتطبيق تقدمه شركة تعرف باسم “أغورا”، ولها مكاتب في كل من شنغهاي وسان فرانسيسكو.

فعندما طرحت “أغورا” الاكتتاب في بورصة وول ستريت في يونيو/حزيران، ذكرت في ملفها لدى لجنة الأوراق المالية والبورصات الأمريكية أنه سيلزم في الصين “تقديم المساعدة والدعم وفقا لقانون الأمن العام وسلطات الأمن الوطني لحماية الأمن الوطني أو المساعدة في التحقيقات الجنائية”.

وأبلغ مرصد الإنترنت التابع لجامعة ستانفورد تطبيق كلوب هاوس بوجود ثغرات أمنية، وقال في 12 فبراير/شباط إنه يتعاون مع شركة التطبيق لتحسين الأمن لديها.

على الرغم من أنه قد يبدو مزعجا أن تسمع عن تسريب محادثات صوتية من تطبيق كلوب هاوس، إلا أن هذا ليس أمرا جيدا تماما.

يلجأ المستخدمون بالفعل إلى استخدام وظائف تسجيل الفيديو والصوت على أجهزتهم لالتقاط المحادثات التي أجراها مشاهير أمثال إيلون ماسك، وكيفين هارت، ونشرها على موقع يوتيوب.

ويحذر ثيل من أن هذا مخالف لشروط خدمة التطبيق، بيد أنه يعني أن أحدا لا ينبغي له أن يتوقع أن تكون محادثاته خاصة بالفعل.

وكتب على تويتر: “اعتبر أن دردشات كلوب هاوس شبه عامة، مع الأخذ في الاعتبار المشكلات مع (شركة) أغورا، وحقيقة أننا جميعا لدينا ميكروفونات”.

ويعتقد بوتر أن المشكلة تكمن في أن تطبيق كلوب هاوس مازال حديثا وغير ناضج كخدمة حتى الآن.

وقال: “أعتقد أن ثمة مجموعة من المستخدمين لديهم الحماس بالفعل لأنه شيء جديد، ولأنك بحاجة إلى دعوة من مستخدم، يتعين أن تكون المحادثات خاصة”.

وأضاف: “حدث ذلك مع تطبيقي زووم وتيك توك مرارا، نشهد تطبيقا يحقق نموا كبيرا بالفعل، وينتشر بسرعة، ثم تظهر مشكلة الخصوصية، أو الكثير من المشكلات التي لم تكن كبيرة جدا عندما كان استخدام التطبيق أقل، ثم يبرز الأمن الإلكتروني لاحقا”.

وقال إن المستخدمين بحاجة إلى أن يكونوا واقعيين بشأن ما تفعله الخدمات ببياناتهم.

وقال بوتر: “أعتقد أن الناس بحاجة فقط إلى إدراك أن الخصوصية والأمن الإلكتروني لمنصات التواصل الاجتماعي الأحدث لن يكونا بنفس جودة المنصات الناضجة”.

وأضاف: “إذا كنت تعتزم تبني تطبيق في مرحلة مبكرة، وتجريب تطبيقات جديدة وهواتف ذكية جديدة، فستكون هناك ثغرات”.