Специалисты Интернет-обсерватории Стэнфордского университета (Stanford Internet Observatory, SIO) обнаружили, что в работе приложения Clubhouse в Китае присутствует ряд проблем безопасности данных пользователей, из-за которых доступ к ним могут получить власти КНР, несмотря на блокировку приложения на территории страны. Alpha Exploration, которая владеет соцсетью, пообещала исправить их и полностью отказаться от использования китайских серверов, таким образом полностью прекратив работу Clubhouse в Китае.
Сервис аудиоконференций Clubhouse появился в марте 2020 года, но приобрёл особую популярность в январе-феврале 2021-го — в частности, благодаря тому, что к нему подключились Марк Цукерберг и Илон Маск. Количество зарегистрированных в сервисе пользователей возросло в том числе в материковом Китае. Как говорится в отчёте SIO, Clubhouse дал возможность юзерам говорить на запретные в стране темы, в том числе об уйгурских концентрационных лагерях в Синьцзяне, протестах 4 июня 1989 года на площади Тяньаньмэнь или произволе местной полиции. Власти Китая ограничивают обсуждение подобных тем, используя для этого «Великий файрвол». 8 февраля они запретили работу Clubhouse в стране, однако некоторые пользователи по-прежнему опасаются, что правительство может подслушивать беседы китайских юзеров, которые обходят ограничения, что потенциально может привести к репрессиям.
Специалисты SIO изучили то, как работает Clubhouse на территории материкового Китая. С помощью инструментов сетевого анализа наподобие Wireshark они обнаружили, что сервера для соцсети предоставляет шанхайская компания Agora со штаб-квартирой в Кремниевой долине. Несмотря на последнее обстоятельство, на неё распространяется законодательство КНР — сама компания это подтвердила в заявке о регистрации в Комиссию по ценным бумагам и биржам США. В ней Agora отметила, что власти Китая могут потребовать от ней передачи данных аудиоконференций, в том числе записи разговоров, если правительство увидит где-либо в работе Clubhouse угрозу национальной безопасности.
Agora уверяет, что не хранит пользовательские аудиозаписи или метаданные для каких-либо целей помимо мониторинга качества сети и выставления счетов своим клиентам. Тем не менее, специалисты SIO сомневаются, что это даёт гарантию безопасности китайским пользователям Clubhouse. Например, отмечают они, нет никакой уверенности в том, что правительство не сможет самостоятельно подключиться к сетям Agora и получить записи аудиобесед. Кроме того, шанхайская компания может искажать в официальных документах методы хранения данных — в качестве примера SIO приводит Huawei, которая также уверяет в том, что не передаёт пользовательские данные китайским властям, но которую США, несмотря на обещания, подозревают в шпионаже. Также, отмечают специалисты SIO, уникальные идентификационные номера пользователей передаются в открытом виде без использования какого-либо шифрования. Это означает, что у Agora, а теоретически и у китайских властей есть доступ к данным местных пользователей — однако не следует считать наверняка, что они на самом деле подслушивают китайцев, отмечают специалисты Стэнфорда.
А вот если Clubhouse хранит данные в США, получить их китайским властям точно не удастся. Согласно политике конфиденциальности сервиса, аудиоконференции записываются и временно хранятся на серверах в целях проверки на предмет безопасности — иначе говоря, чтобы сервис мог обнаружить в них угрозы, разжигание ненависти и другие противоправные действия. Однако как долго эти данные находятся во владении Clubhouse, в политике не указано — это могут быть как несколько минут так и несколько лет.
Тем не менее, китайскому правительству доступ к ним напрямую из соцсети закрыт. Всё, на что они могут рассчитывать — попросить США заставить Clubhouse передавать им данные в соответствии с договором о взаимной правовой помощи между странами, который был подписан в 2001 году. Но с высокой долей вероятности этого не произойдёт из-за положений соглашения, согласно которым США имеют право отклонять запросы, если они нарушают свободу слова или права пользователей. Например, если в беседах пользователи говорят о политически мотивированных делах в Китае.
Специалисты SIO попробовали предположить, зачем вообще китайскому правительству потребовалось запрещать Clubhouse. По их мнению, поводом для этого могли быть как раз политические беседы. Так, проправительственное англоязычное издание Global Times опубликовало в начале февраля редакционную колонку, в котором рассуждало о том, что «политические дискуссии в сервисе носят односторонний характер» и что «прокитайские мнения легко подавляются».
При этом правительство страны даже несколько затянуло с блокировкой — специалисты считают, что она должна была произойти раньше. Они связывают долгое ожидание с тем, что всплеск популярности Clubhouse пришёлся на неделю перед празднованием китайского Нового года, из-за чего государственных цензоров и чиновников попросту не было на посту. В то же время, если у властей действительно есть доступ к данным Agora, они могли захотеть собрать информацию о своих гражданах. Кроме того, предполагают в SIO, причиной задержки могла стать банальная неповоротливость китайского бюрократического аппарата, которому потребовалось чрезмерно много времени на запуск механизма блокировки Clubhouse.
SIO предоставила свой отчёт Alpha Exploration. Компания проанализировала его и пообещала исправить проблемы безопасности для китайских пользователей, которым удалось обойти блокировку. Так, говорится в сообщении Alpha Exploration, её специалисты определили несколько областей, в которых защита данных требует усиления. Например, для некоторого количества юзеров сетевые эхо-запросы, содержащие идентификатор пользователя, отправляются по всему миру — в том числе на серверы в материковой части Китая. Компания уверяет, что оперативно внесёт изменения, чтобы запросы никогда не передавались на китайские сервера. Кроме того, Alpha Exploration пообещала запретить работу Clubhouse на территории Китая.
