Приложение Clubhouse существует на рынке менее года, но уже поднялось на 9 место в категории социальных сетей в каталоге Apple App Store и продолжает стремительно распространяться среди пользователей. Приложение является стартапом, поэтому, что логично, не лишено уязвимых мест. Социальная сеть уже столкнулась с утечками конфиденциальных данных и судебными исками.
Среди основных рисков, связанных с приложением, можно выделить три.
Риск 1. Книга контактов
Для распространения приглашений приложение использует книгу контактов текущих пользователей. Доступ к контактам чреват не только деанонимизацией частных контактов, но и дает почву для конкурентной разведки и BEC-атак. Особенно если пользователь использует корпоративные номера в приложении. На сегодняшний день атака BEC является одной из наиболее опасных, так как при относительно не сложной реализации, сложно детектируема и ведет к огромным финансовым потерям.
В качестве меры решения этой серьезной уязвимости 14 марта генеральный директор Clubhouse Пол Дэвисон объявил, что приложение больше не будет требовать доступ к телефонным контактам участников и что пользователи могут запросить у Clubhouse удаление ранее собранных контактов.
Что касается других разрешений, приложение Clubhouse не просит доступа к камере или фотоархиву, только к необходимым для работы микрофону и календарю. Это заслуга как политики Apple, так и показатель добросовестности разработчика.
Риск. 2 Хранение данных
Вопрос хранения данных также пока решен относительно безопасно. В качестве платформы для работы с мультимедиа-данными приложение использует сервис шанхайско-американского стартапа Agora. Он записывает разговоры, которые происходят в приложении, а затем временно хранит их на серверах в Китае.
Эксперты по безопасности из Стэнфордской интернет-обсерватории (SIO) обнаружили, что при этом личная информация, такая как уникальный номер идентификатора клуба и идентификатор чата, передается в виде открытого текста. Что, в свою очередь, может позволить любому связать идентификаторы клуба с профилем пользователя.
Для передачи аудиоданных используется стандартный набор инструментов (SDK) сервиса Agora и RTC (real time communication) стандарт и система токенов, через которые возможно вычисление номера и других метаданных абонента, а также поиск аудиозаписей. А политика Clubhouse допускает временное хранение аудиоданных, не ограничивающее сам максимальный интервал давности.
Компания Clubhouse в официальном письме уведомила о намерении реализовать дополнительное шифрование клиентского трафика и другие ИБ-функции с последующим анализом информационной безопасности приложения при привлечении внешних аудиторов. Это говорит о серьезном отношении разработчиков к ИБ.
Риск 3. Негативный маркетинг
Еще один не такой очевидный вопрос – сами распространяемые данные. Необходимо понимать, что приложение можно использовать только для публичных данных. Оно не подойдет для обмена конфиденциальной информацией по озвученным выше причинам.
Так как сотрудники многих организаций связаны соглашениями о неразглашении (NDA), то перед освещением в приложении какой-либо информации полезно было бы освежить в памяти перечень сведений конфиденциального характера. А самим организациям провести внеурочное обучение на эту тематику.
К тому же любые открытые в цифровой среде высказывания могут стать имиджевой проблемой для организации. В этом вопросе полезно обсудить с отделом маркетинга позиционирование бренда и другие вопросы.
В Европе Clubhouse уже угрожает приказ о прекращении противоправных действий, поданный 27 января Федерацией потребительских организаций Германии за нарушение Общего регламента защиты данных (GDPR) в связи с утечкой данных 21 февраля. В Clubhouse произошла утечка данных, которая была использована, когда пользователь манипулировал системой для потоковой передачи разговоров в чате на стороннем веб-сайте.
Учитывая строгость регламента и размеры штрафов, это должно послужить серьезной мотивацией на развитие системы информационной безопасности приложения.
Рекомендации по безопасной работе
В первую очередь мы рекомендуем воспринимать платформу именно как точку обмена публичной информацией. Также превентивно необходимо напомнить сотрудникам о:
-
проработке с отделом маркетинга вопросов освещения, упоминания и политики продвижения бренда даже в личных высказываниях, чтобы не послужить источником негативного маркетинга;
-
вопросах открытости и конфиденциальности информации, перечне сведений конфиденциального характера (прорабатываются с отделом экономической безопасности).
В некоторых случаях целесообразно использовать MDM-/ UEM- или EMM-решения для сепарации и защиты корпоративных данных на мобильных устройствах сотрудников. С помощью этой системы защиты возможно как ограничить доступ к корпоративным документам, так и контролировать установку ПО на мобильном устройстве, установить запрет на установку на корпоративных устройствах неизвестного ПО.
Эксперты группы компаний Angara рекомендуют следующие решения данного класса:
-
MobileIron Enterprise Mobile Management (EMM) and Mobile Device Management (MDM) (acquired by Ivanti),
-
VMWare Workspace ONE Unified Endpoint Management (UEM) на базе AirWatch.
Источник: CISO Club