Киберриски Clubhouse: чем опасна новая социальная сеть?

Приложение Clubhouse существует на рынке менее года, но уже поднялось на 9 место в категории социальных сетей в каталоге Apple App Store и продолжает стремительно распространяться среди пользователей. Приложение является стартапом, поэтому, что логично, не лишено уязвимых мест. Социальная сеть уже столкнулась с утечками конфиденциальных данных и судебными исками.

Среди основных рисков, связанных с приложением, можно выделить три.

Риск 1. Книга контактов

Для распространения приглашений приложение использует книгу контактов текущих пользователей. Доступ к контактам чреват не только деанонимизацией частных контактов, но и дает почву для конкурентной разведки и BEC-атак. Особенно если пользователь использует корпоративные номера в приложении. На сегодняшний день атака BEC является одной из наиболее опасных, так как при относительно не сложной реализации, сложно детектируема и ведет к огромным финансовым потерям.

В качестве меры решения этой серьезной уязвимости 14 марта генеральный директор Clubhouse Пол Дэвисон объявил, что приложение больше не будет требовать доступ к телефонным контактам участников и что пользователи могут запросить у Clubhouse удаление ранее собранных контактов.

Что касается других разрешений, приложение Clubhouse не просит доступа к камере или фотоархиву, только к необходимым для работы микрофону и календарю. Это заслуга как политики Apple, так и показатель добросовестности разработчика.

Риск. 2 Хранение данных

Вопрос хранения данных также пока решен относительно безопасно. В качестве платформы для работы с мультимедиа-данными приложение использует сервис шанхайско-американского стартапа Agora. Он записывает разговоры, которые происходят в приложении, а затем временно хранит их на серверах в Китае.

Эксперты по безопасности из Стэнфордской интернет-обсерватории (SIO) обнаружили, что при этом личная информация, такая как уникальный номер идентификатора клуба и идентификатор чата, передается в виде открытого текста. Что, в свою очередь, может позволить любому связать идентификаторы клуба с профилем пользователя.

Для передачи аудиоданных используется стандартный набор инструментов (SDK) сервиса Agora и RTC (real time communication) стандарт и система токенов, через которые возможно вычисление номера и других метаданных абонента, а также поиск аудиозаписей. А политика Clubhouse допускает временное хранение аудиоданных, не ограничивающее сам максимальный интервал давности.

Компания Clubhouse в официальном письме уведомила о намерении реализовать дополнительное шифрование клиентского трафика и другие ИБ-функции с последующим анализом информационной безопасности приложения при привлечении внешних аудиторов. Это говорит о серьезном отношении разработчиков к ИБ.

Риск 3. Негативный маркетинг

Еще один не такой очевидный вопрос – сами распространяемые данные. Необходимо понимать, что приложение можно использовать только для публичных данных. Оно не подойдет для обмена конфиденциальной информацией по озвученным выше причинам.

Так как сотрудники многих организаций связаны соглашениями о неразглашении (NDA), то перед освещением в приложении какой-либо информации полезно было бы освежить в памяти перечень сведений конфиденциального характера. А самим организациям провести внеурочное обучение на эту тематику.

К тому же любые открытые в цифровой среде высказывания могут стать имиджевой проблемой для организации. В этом вопросе полезно обсудить с отделом маркетинга позиционирование бренда и другие вопросы.

В Европе Clubhouse уже угрожает приказ о прекращении противоправных действий, поданный 27 января Федерацией потребительских организаций Германии за нарушение Общего регламента защиты данных (GDPR) в связи с утечкой данных 21 февраля. В Clubhouse произошла утечка данных, которая была использована, когда пользователь манипулировал системой для потоковой передачи разговоров в чате на стороннем веб-сайте.

Учитывая строгость регламента и размеры штрафов, это должно послужить серьезной мотивацией на развитие системы информационной безопасности приложения.

Рекомендации по безопасной работе

В первую очередь мы рекомендуем воспринимать платформу именно как точку обмена публичной информацией. Также превентивно необходимо напомнить сотрудникам о:

  • проработке с отделом маркетинга вопросов освещения, упоминания и политики продвижения бренда даже в личных высказываниях, чтобы не послужить источником негативного маркетинга;

  • вопросах открытости и конфиденциальности информации, перечне сведений конфиденциального характера (прорабатываются с отделом экономической безопасности).

В некоторых случаях целесообразно использовать MDM-/ UEM- или EMM-решения для сепарации и защиты корпоративных данных на мобильных устройствах сотрудников. С помощью этой системы защиты возможно как ограничить доступ к корпоративным документам, так и контролировать установку ПО на мобильном устройстве, установить запрет на установку на корпоративных устройствах неизвестного ПО.

Эксперты группы компаний Angara рекомендуют следующие решения данного класса:

  • MobileIron Enterprise Mobile Management (EMM) and Mobile Device Management (MDM) (acquired by Ivanti),

  •  VMWare Workspace ONE Unified Endpoint Management (UEM) на базе AirWatch.

Источник: CISO Club


Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах