In poco più di qualche mese Clubhouse, l’app di social media basato sull’audio, è emersa in modo dirompente. Il suo formato sembra familiare: un po’ twitter, un po’ linkedin, un po’ telefonata a zia Concetta. Potete parlare di e con tutti: due chiacchiere sull’ispirazione con il cantante preferito? Una simpatica conversazione con mezzo mondo radiofonico, confronti sulla politica con i sondaggisti più noti? Un bar dove molte differenze si abbattono.
L’espansione di Clubhouse, tuttavia, mostra in modo drammatico le carenze in materia di sicurezza e privacy di questa app: costringeranno l’azienda a correre molto presto ai ripari.
Clubhouse è ancora in versione beta e disponibile solo su iOS per inviti. Fino a poco fa aveva UNA sola stanza. Oggi offre ai propri utenti la possibilità di crearne a piacimento: si tratta essenzialmente di chat audio di gruppo. Possono essere interattive, con un moderatore che “chiama” di volta in volta le persone a parlare e conversare, o monodirezionali. Secondo quanto riferito, Clubhouse ha oltre 10 milioni di utenti e un valore che supera già il miliardo di dollari. Il carattere ancora relativamente elitario dell’app fa sì che diverse celebrità popolino le stanze, creando un curioso mix di intrattenimento e conversazione amichevole. Cosa potrebbe andare storto?
La sicurezza, amigo
Clubhouse ha un tallone d’Achille grande come una casa: riguarda la quantità di privacy che i suoi utenti dovrebbero aspettarsi, e in generale la sicurezza dell’intero sistema. Quando si sperimenta una crescita del genere aumenta tutto: il livello di esposizione, le minacce, il numero di persone che “sondando” la piattaforma per rubare dati.
Uno dei ricercatori che hanno studiato gli eventuali passaggi di dati di Clubhouse, spiega che l’app non dispone di meccanismi anti-scraping. Clubhouse non ha cioè uno “scudo” contro chi volesse prelevare le conversazioni, anche di più stanze, e trasmetterle altrove. O registrarle e salvarle per analizzarle.
L’analisi della sicurezza di Clubhouse fatta da Stanford
I recenti problemi di sicurezza relativi a Clubhouse spaziano dalle vulnerabilità generale alle domande sull’infrastruttura. Poco più di una settimana fa, i ricercatori dello Stanford Internet Observatory hanno puntato i riflettori sulla piattaforma quando hanno scoperto che l’app stava trasmettendo gli ID degli utenti Clubhouse in modo non crittografato, il che significa che una terza parte avrebbe potuto potenzialmente tracciare le azioni degli utenti nell’app. I ricercatori hanno inoltre sottolineato che parte dell’infrastruttura di Clubhouse è gestita da un’azienda con sede a Shanghai e sembrava che i dati dell’app stessero viaggiando attraverso la Cina almeno per un po ‘di tempo, esponendo potenzialmente gli utenti a una sorveglianza governativa cinese mirata o addirittura diffusa .
Poi è arrivata la conferma una settimana fa: Bloomberg ha confermato che un sito Web di terze parti stava raccogliendo e compilando audio dalle conversazioni in Clubhouse. All’inizio di lunedì, sono seguite ulteriori rivelazioni sul fatto che le conversazioni in Clubhouse erano state prelevate da un’app Android non affiliata , consentendo agli utenti di quel sistema operativo di ascoltare in tempo reale cosa veniva detto.
I social network più maturi come Facebook hanno meccanismi più sviluppati per bloccare i propri dati, sia per prevenire violazioni della privacy degli utenti che per difendere i dati che detengono come risorsa. Ma anche loro possono ancora avere potenziali esposizioni da tecniche di scraping creativo .
La stessa Clubhouse è stata analizzata per la sua attitudine ad incoraggiare la condivisione dei dati della rubrica degli utenti. L’app richiede di condividere l’elenco dei contatti per invitare altre persone sulla piattaforma, essendo il sistema ad inviti. Questo contribuisce a creare un senso di esclusività e privacy, certo, ma molti utenti hanno sottolineato che l’app fornisce anche suggerimenti basati su quali numeri di telefono nei tuoi contatti sono anche nei contatti del maggior numero di utenti di Clubhouse. In altre parole, se voi e i vostri amici usate tutti lo stesso fioraio, medico (o spacciatore) questi potrebbero benissimo comparire nella tua lista di persone suggerite da invitare.
Da Clubhouse arriva un No Comment. Per quanto ancora?
Clubhouse non ha risposto alle richieste fatte da diverse testate di commentare i suoi recenti problemi di sicurezza. Ha dettagliato le modifiche specifiche che intende apportare, inclusi il taglio dei passaggi sui server cinesi e il rafforzamento della sua crittografia. Poco più oltre questo: generiche “garanzie” per evitare che si verifichino (o ripetano) problemi. C’è ancora la sensazione che Clubhouse non abbia pensato adeguatamente alla sua sicurezza, insomma.
E non abbiamo considerato ancora la privacy
Quando si avvia una nuova stanza Clubhouse, si può scegliere tra tre impostazioni: una stanza “aperta” a qualsiasi utente, una stanza “social” aperta solo alle persone che si seguono e una stanza “chiusa” con accesso limitato. Ognuna ha il proprio livello (implicito) di privacy, che Clubhouse dotrebbe rendere più esplicito.
“Penso che per le stanze pubbliche, Clubhouse dovrebbe far capire meglio che ‘pubblico’ significa pubblico per tutti gli utenti, dal momento che chiunque può partecipare e registrare, prendere appunti eccetera” dice David Thiel, chief technology officer dello Stanford Internet Observatory. “Per le stanze private, possono comunicare che, come con qualsiasi meccanismo di comunicazione, un membro autorizzato può registrare contenuti e identità”.
E gli abusi?
Come ogni importante social network, anche Clubhouse deve fronteggiare gli abusi sulla sua piattaforma. I termini di servizio dell’app vietano l’incitamento all’odio, il razzismo e le molestie (a partire da novembre) e la piattaforma offre alcune funzionalità di moderazione. Si possono bloccare degli utenti, o segnalarli, o segnalare un’intera stanza. Il problema maggiore di Clubhouse, però, è generale: le persone possono utilizzare la piattaforma senza la responsabilità che i loro contenuti vengano salvati. Apparentemente, insomma (apparentemente) verba volant. Questo può incoraggiare alcuni utenti a fare commenti offensivi o dispregiativi, nella convinzione di non essere registrati e quindi di non affrontare conseguenze.
Ma è davvero così?
Thiel di Stanford afferma che Clubhouse attualmente archivia temporaneamente le registrazioni delle discussioni. Nel caso possano servire per denunce di abusi. E questo è un serpente che si morde la coda. Perchè? Se introdurrà (come richiesto) la crittografia end-to-end per la sicurezza dei dati, avrà più difficoltà a registrare. Se avrà difficoltà a registrare, avrà difficoltà a combattere gli abusi. Abusi, privacy, sicurezza dei dati sono interconnessi: non sarà facile far quadrare tutto.
Ancora: anche con una crittografia non si elimina la possibilità che qualsiasi utente di Clubhouse registri per conto suo le conversazioni. E questa non è una cosa che Clubhouse può risolvere facilmente.
Però, e questo deve farlo prima possibile, Clubhouse può essere trasparente su queste cose, informando gli utenti sulla condotta da tenere. Perchè Clubhouse ha l’aspetto di quell’amichevole bar dove puoi incontrare all’improvviso una celebrità, ma ovviamente NON E’ un luogo intimo e ristretto. E conviene sapere come parlare e cosa dire.
Anyway, al netto di questi problemi (non da poco) di sicurezza, è un social che ha davvero molto fascino. E infatti, con tutti gli accorgimenti e l’educazione del caso mi ci sono fiondato. Se siete lì anche voi e volete fare due chiacchiere con me, cercate Gianluca Riccio su Clubhouse.
