Dữ liệu âm thanh thô của Clubhouse có thể bị tấn công

Theo Bloomberg, SIO xác nhận Agora, một công ty khởi nghiệp có trụ sở tại Thượng Hải (Trung Quốc) và có văn phòng tại Thung lũng Silicon (Mỹ) là nhà cung cấp cơ sở hạ tầng back-end cho Clubhouse, bán một “nền tảng tương tác thoại và video theo thời gian thực”.

Các ID người dùng được truyền dưới dạng văn bản không được mã hóa qua internet, khiến chúng trở nên dễ dàng bị đánh chặn. SIO cho biết Agora có thể có quyền truy cập vào âm thanh thô của người dùng và có khả năng cung cấp quyền truy cập cho chính phủ Trung Quốc.

SIO cho biết trên Twitter về phát hiện của mình rằng “bất kỳ người quan sát lưu lượng truy cập internet nào cũng có thể dễ dàng đối chiếu ID trên các phòng trò chuyện dùng chung để xem ai đang nói chuyện với ai. Đối với người dùng Trung Quốc đại lục, điều này thật đáng lo ngại”.

SIO, một chương trình tại Đại học Stanford nghiên cứu thông tin sai lệch trên internet và các nền tảng truyền thông xã hội, cho biết họ đã quan sát thấy siêu dữ liệu từ một phòng trò chuyện Clubhouse “được chuyển tiếp đến các máy chủ mà chúng tôi tin là được lưu trữ ở Trung Quốc”. Các nhà phân tích cũng thấy âm thanh được chuyển tiếp “tới các máy chủ do các đơn vị Trung Quốc quản lý và phân phối trên khắp thế giới”.

SIO cho biết với tư cách là một công ty Trung Quốc, Agora phải tuân theo luật an ninh mạng của Trung Quốc và sẽ “được yêu cầu hợp pháp hỗ trợ chính phủ định vị và lưu trữ” các tin nhắn âm thanh mà các nhà chức trách cho rằng gây nguy hiểm cho an ninh quốc gia.

“Bất kỳ dữ liệu không được mã hóa nào truyền qua máy chủ ở Trung Quốc đều có thể truy cập được đối với chính phủ Trung Quốc”, SIO cho biết trong báo cáo của mình. Vì SIO có thể quan sát quá trình truyền siêu dữ liệu giữa các máy chủ, nên họ tin rằng chính phủ Trung Quốc sẽ có thể thu thập siêu dữ liệu mà không cần phải truy cập vào mạng của Agora.

Tuy nhiên, SIO lưu ý Agora tuyên bố không lưu trữ âm thanh hoặc siêu dữ liệu của người dùng “ngoại trừ việc giám sát chất lượng mạng và lập hóa đơn cho khách hàng của mình”, điều đó đồng nghĩa là họ sẽ không có bất kỳ hồ sơ nào về dữ liệu người dùng nếu Bắc Kinh yêu cầu. SIO cũng nói rằng miễn là âm thanh được lưu trữ ở Mỹ, không chắc chính phủ Trung Quốc sẽ có thể truy cập được.

SIO cho biết họ đã chọn tiết lộ các vấn đề bảo mật vì chúng dễ bị phát hiện và do rủi ro mà chúng gây ra cho hàng triệu người dùng của Clubhouse. SIO đã phát hiện ra các lỗi bảo mật khác mà họ đã tiết lộ riêng cho Clubhouse và sẽ tiết lộ công khai khi chúng được khắc phục hoặc sau một thời hạn đã định.

Trong một tuyên bố được đưa vào báo cáo, Clubhouse cho biết họ sẽ thực hiện các thay đổi trong 72 giờ để thêm “mã hóa bổ sung để ngăn các khách hàng của Clubhouse truyền tín hiệu tới máy chủ Trung Quốc. Chúng tôi cũng có kế hoạch thuê một công ty bảo mật dữ liệu bên ngoài để xem xét và xác thực những thay đổi này”.

Clubhouse gần đây huy động được 100 triệu USD với mức định giá 1 tỉ USD. Một số giám đốc điều hành công nghệ, bao gồm cả Elon Musk của Tesla cũng tham gia dịch vụ này.

Clubhouse là ứng dụng mới nổi gần đây Ảnh: AFP

Trong khi đó, Agora được biết đến hầu hết trong giới công nghệ như một nhà cung cấp công cụ phần mềm. Công ty đã tăng giá trị hơn 150% kể từ giữa tháng 1.2021. Hiện Agora có giá trị gần 11 tỉ USD.

Vào đầu tháng 2.2021, người dùng Clubhouse ở Trung Quốc cho biết họ không thể truy cập ứng dụng sau khi bùng nổ các cuộc thảo luận liên quan đến các chủ đề cấm kỵ về Đài Loan, Tân Cương. Giờ đây, dường như người dùng có thể truy cập ứng dụng bằng cách sử dụng mạng riêng ảo, một trong số ít cách mà người dân ở Trung Quốc đại lục có thể truy cập internet.