Clubhouse, addio privacy: conversazioni trasmesse su siti esterni

Clubhouse inizia a mostrare quelle vulnerabilità in materia di tutela della privacy e dati personali che già molti osservatori avevano evidenziato nelle prime settimane del suo boom.

A fine febbraio l’applicazione del momento ha confermato un caso - il primo noto - di data breach, una divulgazione non autorizzata delle conversazioni audio tra gli iscritti su un sito terzo. Il social del momento è infatti incentrato su interazioni vocali che avvengono esclusivamente in diretta all’interno di stanze virtuali, le cosiddette Room, senza lasciare registrazioni archiviate. Proprio per questo, è percepito come ambiente sicuro, percezione rafforzata anche dalle modalità di registrazione, effettuabile solo su invito di un amico già iscritto.

Tuttavia, Clubhouse non è in grado di impedire - per sua stessa ammissione - che le discussioni fuoriescano dall’app e lo esplicita nella sua informativa privacy. Questa debolezza si aggiunge a molte altre lacune del servizio, come la verifica dell’età minima per l’iscrizione, le modalità di conservazione delle registrazioni e il mancato adeguamento alle norme del Gdpr. Non a caso, anche il Garante per la Privacy italiano ha inviato alla proprietaria Alpha Exploration Co. una richiesta formale per vederci chiaro.

Sembrerebbe chiara, invece, la natura del recente "furto" di conversazioni. Nessun attacco hacker maligno, si è trattato semplicemente dello sfruttamento di una falla. Dopo avere scoperto come fosse possibile partecipare a più Room contemporaneamente, la mente dell’operazione è riuscita a trasmetterle in streaming sul proprio sito esterno, collegandolo tramite un’Api di Clubhouse. E grazie alla condivisione del suo account personale, anche gli utenti sprovvisti di invito sono riusciti ad ascoltare le interazioni vocali.

Clubhouse ha comunicato di aver individuato e cacciato in modo permanente l’utente, specificando che registrare o condividere senza il permesso dei partecipanti è una violazione dei termini e delle condizioni dell’app. Condizioni che, per ora, il servizio non è però in grado di far rispettare. Una portavoce dell’azienda ha confermato a BBC l'implementazione di "misure di protezione aggiuntive", senza però fornire dettagli.

L’episodio si è vericiato dopo le rassicurazioni del social, pronto a sostenere che i dati dagli utenti non fossero a rischio furto. Una risposta diretta ai ricercatori del programma Stanford University's Internet Observatory (SIO), i quali avevano reso note alcune perplessità sull’affidabilità del servizio in termini di privacy. Tra queste, i timori che i file audio potessero finire nelle mani del governo cinese.

Molte operazioni di backend di Clubhouse, fra le quali l’elaborazione del traffico dati, sono gestite infatti da Agora, una start-up cinese con sedi a Shanghai e San Francisco. Le preoccupazioni riguardano soprattutto gli utenti cinesi, la cui attività online è sotto costante monitoraggio da parte delle autorità di Pechino. Contattata da Bloomberg, l’azienda non ha rilasciato dichiarazioni sui protocolli seguiti e ha specificato che, in generale, non “conserva o condivide informazioni utili all’identificazione personale”.

In ogni caso, l’opinione unanime di molti esperti di sicurezza è una: le conversazioni sull’app non possono essere considerate private. Per questa ragione, si dovrebbe evitare di diffondere informazioni delicate parlando sul social.