تسريب "كلوب هاوس": ماذا حدث؟
تكمن جاذبية تطبيق البث الصوتي "كلوب هاوس" في أنه يعتمد على محادثات سريعة الزوال وغير قابلة للحفظ. لكن ماذا لو تمكن الأشخاص السيئون من التطفل على محادثاتكم المباشرة وتسريبها؟ لم يمرّ وقت طويل على انتشار التطبيق، حتى أتت الإجابة عن السؤال. فقد سرّب أحد مستخدمي التطبيق المحادثات يوم الأحد الماضي، ما أثار زوبعة واسعة من المخاوف حول العالم، قبل أن تؤكد الشركة أنّها حظرت المستخدم، وأنّها طبقت "ضمانات" جديدة لمنع الوصول غير المصرَّح به في المستقبل.
أكد تقرير لـ "بلومبيرغ" التسريب، مشيراً إلى أن مستخدماً مجهولاً تمكّن من تسريب بثّ الاستماع إلى المحادثات. ويُعتقد أن المستخدم مقيم في الصين، وأنه أنشأ موقعاً لالتقاط تدفقات الصوت من التطبيق.
والتطبيق الذي لا يزال مخصصاً لهواتف "أيفون" فقط، ويقتصر على نظام الدعوات، أكد الأسبوع الماضي أنّه شدّد الإجراءات الأمنية، بما في ذلك منع التطبيق من "إرسال الأصوات" إلى الخوادم الموجودة في الصين والتشفير الإضافي لحماية المحادثات. ويسمح التطبيق للمستخدمين بالانضمام والمشاركة في غرف الدردشة الصوتية العامة أو الخاصة المنبثقة، ما يعد بعدم تسجيل المحادثات التي يجب خوض تجربتها مباشرةً.
لكن باحثين أميركيين في مجال الأمن السيبراني غردوا بأن مستخدماً وجد طريقة لبثّ الصوت إلى موقع ويب آخر. وأبلغ مرصد الإنترنت في جامعة ستانفورد عن الحادث أولاً، لكن رئيس التكنولوجيا في البرنامج، ديفيد ثيل، شدد على أن تسرّب البيانات لم يكن ضاراً أو "اختراقاً"، بل قال إنه لم يكن أكثر من أن المستخدم قرر انتهاك شروط خدمة "كلوب هاوس". ويوافقه الرأي الباحث الأسترالي في مجال الأمن السيبراني روبرت بوتر، الذي بنى مركز عمليات الأمن السيبراني في واشنطن بوست. وأوضح بوتر أن "تسرب البيانات" كان مختلفاً عن "خرق البيانات"، حيث إن خروقات البيانات متعمدة، وعادة ما يقوم بها شخص ما اخترق نظاماً لسرقة البيانات.
مستخدم واحد سرّب المحادثات إلى موقع عبر الإنترنت ثم حُظر
والتسريب هو حادث يُطلَق بموجبه معلومات سرية في بيئة غير مصرَّح لها بالوصول إلى المعلومات. ووفقاً لبوتر، فإنّ الحادث وقع لأن المستخدم أدرك أنّ من الممكن التواجد في غرف دردشة متعددة في وقت واحد. ومن خلال فهم كيفية عمل ذلك، قام المستخدم المسرّب بتوصيل API "كلوب هاوس" بموقعه على الويب، و"مشاركة" معلومات تسجيل الدخول الخاصة به عن بُعد مع أي شخص على الإنترنت يريد الاستماع إلى الدردشات الصوتية من التطبيق.
ونقلت هيئة الإذاعة البريطانية (بي بي سي) عن بوتر قوله: "إذا كنت مشهوراً، فسيُنشئ الأشخاص تطبيقاً تابعاً لجهة خارجية يقوم بكشط البيانات من الخدمة، على سبيل المثال جميع برامج الجهات الخارجية التي تمتص المعلومات من تويتر".
وتأتي حادثة الأحد بعد أن قدم "كلوب هاوس" تأكيدات بأن بيانات المستخدم لا يمكن سرقتها من قبل مجرمي الإنترنت أو المتسللين الذين ترعاهم الدولة، رداً على تحذير من مرصد الإنترنت بجامعة ستانفورد، الذي يرأسه رئيس الأمن السابق في "فيسبوك" أليكس ستاموس. واكتشف باحثو الأمن السيبراني في جامعة ستانفورد العديد من العيوب الأمنية، بما في ذلك حقيقة أن أرقام المعرفات الفريدة للمستخدمين وأرقام معرفات غرف الدردشة في "كلوب هاوس" التي أنشأوها كانت تُنقل بنص عادي، وقد يكون من الممكن توصيل المعرفات بملفات تعريف مستخدم محددة.
وأشار تقرير أعده مرصد الإنترنت في ستانفورد إلى أن شركة "أغورا"، التي تتخذ من الصين مقراً لها، توفر الواجهة الخلفية لـ"كلوب هاوس"، وقد نقلت أرقام رمز المستخدم ورموز غرف الدردشة بنص برمجة بسيط.
وقال ستاموس، إن "كلوب هاوس" لا يمكنه تقديم أي وعود بالخصوصية للمحادثات التي تُجرى في أي مكان حول العالم. ولاحظ أيضاً أن "كلوب هاوس" يستخدم خوادم غير مسجلة سابقاً تديرها "إنجوي في سي". ولا تُعرف الخدمة التي تقدمها هذه الشركة للتطبيق، وما الآثار التي قد تكون لها على المستخدمين.
ورداً على تقرير المرصد، قالت إدارة التطبيق إنه ليس لديها خوادم في الصين، حيث لم يُطلَق التطبيق رسمياً في البلاد. وأضافت أن بعض المستخدمين في الصين وجدوا حلاً لتثبيت التطبيق، وأن "المحادثات التي كانوا جزءاً منها يمكن نقلها عبر الخوادم الصينية".
وتعود المشكلة أيضاً إلى أنّ "كلوب هاوس" لا يزال يافعاً وتجريبياً، وغير مفتوحٍ للعموم، ما يعني أنه سيواجه مشاكل، كالبطء بسبب تدفق المستخدمين إليه، وكمحاولات الاختراق ومشاكل الخصوصية. وهذه المشكلات حدثت سابقاً مع "زوم" و"تيك توك"، بعد تحقيقهما نمواً مرتفعاً وانتشاراً سريعاً، قبل أن تبرز مشاكل الخصوصية والتسريب فيهما.
وقبل أيام، أعلنت شركة التحليلات App Annie أنّ تطبيق البث الصوتي ضاعف أعداد التنزيلات خلال أسبوعين فقط. وذكرت الشركة أن التطبيق شهد زيادة في التنزيلات العالمية من 3.5 ملايين إلى 8.1 ملايين تنزيل، ما بين 1 و16 فبراير/ شباط.
