信息化觀察網(wǎng)

近日在硅谷和中國(guó)互聯(lián)網(wǎng)圈風(fēng)靡的語(yǔ)音聊天室應(yīng)用ClubHouse無(wú)疑是已經(jīng)沉寂了五年的互聯(lián)網(wǎng)創(chuàng)新冰河期的一把烈火，事實(shí)上，無(wú)論是中國(guó)的BAT（搜索、電商、社交/游戲）、還是硅谷的FAANG（社交、智能手機(jī)、電商、視頻、搜索），過(guò)去十年都沒(méi)有什么像樣的顛覆性創(chuàng)新了。

ClubHouse是一款無(wú)論技術(shù)、產(chǎn)品還是體驗(yàn)都與上一個(gè)十年，甚至上個(gè)世紀(jì)的BBS聊天室別無(wú)二致，甚至更加“原始”（語(yǔ)音是非結(jié)構(gòu)化數(shù)據(jù)，比文本和視頻制作成本和門檻低）的產(chǎn)品，就像一套落滿灰塵的絕版樂(lè)高玩具，一夜之間成了凡爾賽爆款，引發(fā)了國(guó)內(nèi)的一波洶涌到山寨熱潮。

ClubHouse在中國(guó)金融互聯(lián)網(wǎng)圈激發(fā)的亢奮狀況，從春節(jié)前持續(xù)到了現(xiàn)在。甚至ClubHouse的邀請(qǐng)碼，也成了僅次于北大附中校服的朋友圈頂級(jí)凡爾賽曬圖。

從“聽房”到“脫褲”

與過(guò)去半年的加密貨幣行情一樣，驚喜的背后通常是驚悚。與被硅谷巨頭圍攻，最終因安全漏洞被“屠城”的特朗普御用社交平臺(tái)Parler一樣，ClubHouse近日也爆出了重大隱私和安全事件，可概括為以下兩點(diǎn)：

ClubHouse聊天室被竊聽；

大量用戶數(shù)據(jù)被“脫褲”（身份不明的用戶將語(yǔ)音聊天流數(shù)據(jù)傳輸?shù)阶约旱木W(wǎng)站）。

據(jù)彭博社報(bào)道，在信誓旦旦承諾正在采取措施確保用戶數(shù)據(jù)不會(huì)被惡意黑客或間諜竊取的一周后，ClubHouse近日承認(rèn)有攻擊者對(duì)該平臺(tái)的用戶成功實(shí)施了竊聽并有數(shù)量不明的用戶數(shù)據(jù)被“拖庫(kù)”到第三方網(wǎng)站。

斯坦?；ヂ?lián)網(wǎng)觀測(cè)臺(tái)（Stanford Internet Observatory，簡(jiǎn)稱SIO）于2月13日首次公開了ClubHouse的安全問(wèn)題，警告用戶所有對(duì)話都會(huì)被記錄在案。SIO和Facebook Inc.前安全負(fù)責(zé)人Alex Stamos指出：“Clubhouse無(wú)法為世界各地進(jìn)行的對(duì)話提供任何隱私保證。”

據(jù)安全人士透露，周末偷竊ClubHouse音頻的攻擊者圍繞用于編譯Clubhouse應(yīng)用程序的JavaScript工具包開發(fā)了自己的系統(tǒng)。SIO表示對(duì)ClubHouse進(jìn)行了安全評(píng)估，但并不確定攻擊者的來(lái)歷或身份。

SIO的研究員Jack Cable說(shuō)，盡管Clubhouse拒絕透露采取了何種措施來(lái)防止類似的違規(guī)行為，但解決方案可能包括阻止使用第三方應(yīng)用程序訪問(wèn)聊天室音頻或限制用戶同時(shí)進(jìn)入的房間數(shù)量。

Clubhouse發(fā)言人Reema Bahnasy說(shuō)，一個(gè)身份不明的用戶在本周末將“多個(gè)房間”的Clubhouse音頻流傳輸?shù)阶约旱牡谌骄W(wǎng)站中。盡管該公司表示已“永久封禁”該用戶并采取了新的“防護(hù)措施”以防止重復(fù)發(fā)生，但安全研究人員認(rèn)為ClubHouse可能自己都不知道自己兌現(xiàn)不了承諾。

顯然，Clubhouse計(jì)劃采取的安全措施要么不夠充分，要么尚未實(shí)施。

根據(jù)SIO研究員Jack Cable的說(shuō)法，Clubhouse拒絕透露未來(lái)將采取什么額外措施來(lái)避免此類違規(guī)行為。

澳大利亞堪培拉的Internet 2.0首席執(zhí)行官Robert Potter則認(rèn)為：“真正的問(wèn)題是，人們認(rèn)為這些對(duì)話永遠(yuǎn)是私人（秘）的。”

頭號(hào)贏家

除了用戶自身的安全錯(cuò)覺(jué)外，ClubHouse使用中國(guó)公司的實(shí)時(shí)語(yǔ)音技術(shù)服務(wù)也引發(fā)了外媒和安全人員的焦慮。

Stamos說(shuō)，ClubHouse對(duì)位于中國(guó)初創(chuàng)公司Agora（聲網(wǎng)）的依賴引起了廣泛的隱私焦慮，特別是對(duì)特定人群而言，他們的談話超出了審查范圍。

在接受彭博社采訪時(shí)，Agora表示，它無(wú)法對(duì)Clubhouse的安全或隱私協(xié)議發(fā)表評(píng)論，并堅(jiān)稱它不會(huì)為任何客戶“存儲(chǔ)或共享個(gè)人身份信息”，而Clubhouse只是其客戶之一。該公司表示：“我們致力于使我們的產(chǎn)品盡可能地安全。”

在Agora官網(wǎng)首頁(yè)的顯要位置，安全牛發(fā)現(xiàn)除了ISO27001、GDPR和HIPPA等隱私與數(shù)據(jù)安全相關(guān)法規(guī)和標(biāo)準(zhǔn)（作為中國(guó)公司，Agora也需要尊重中國(guó)的《網(wǎng)絡(luò)安全法》）外，還可以看到Agora的“安全與合規(guī)”聲明：

兼具數(shù)據(jù)安全保障和個(gè)人隱私保護(hù)的RTE可靠服務(wù)

服務(wù)每一位開發(fā)者尊重每一位終端用戶

Clubhouse最近籌集了1億美元，估值為10億美元，但真正的大贏家是Agora，自一月中旬以來(lái)，Agora的股價(jià)已經(jīng)飆升了150％以上，市值接近100億美元。

2月初，中國(guó)的ClubHouse用戶表示，由于敏感話題討論激增，他們已無(wú)法訪問(wèn)該應(yīng)用程序。但是部分“強(qiáng)力”用戶仍然可以使用虛擬專用網(wǎng)絡(luò)來(lái)訪問(wèn)該應(yīng)用程序（新用戶需要擁有海外手機(jī)卡接受確認(rèn)碼）。

當(dāng)邀請(qǐng)碼、防火墻、境外手機(jī)卡都無(wú)法阻止人們對(duì)ClubHouse的狂熱追捧時(shí)，也許一次重大隱私數(shù)據(jù)泄漏事故才是給失控的“反應(yīng)堆”降溫的唯一有效的“緩解措施”。