Hacker's Dictioanry, rubrica Il Manifesto,

Clubhouse è stato hackerato

Clubhouse ha confermato il «data breach» nelle chat audio avvenuto durante lo scorso weekend. Come riportato da SiliconANGLE, un programmatore è riuscito a trasmettere in streaming i file audio provenienti da alcune stanze di Clubhouse, che ha appena superato gli 8 milioni di download.

Questa app social, solo per iPhone (ci sono circa un miliardo di telefonini Apple nel mondo), è pensata per interagire esclusivamente tramite note vocali, e consente agli iscritti di partecipare a «chat room »audio pubbliche o private; per connettersi e dialogare con tutti, compresi i grandi nomi del jet set tecnologico, da Elon Musk a Mark Zuckerberg, proprio come succede nei circoli privati (clubhouse significa «sede di club» o «circolo sportivo»).

Di fronte alle preoccupazioni espresse dagli esperti circa la scarsa privacy del social dopo l’hackeraggio, i suoi sviluppatori hanno dichiarato che le informazioni trapelate non erano state compromesse da attori governativi cinesi, come temuto per il solo fatto che l’infrastruttura del social è sviluppata da Agora, una società che opera sia negli Stati Uniti che in Cina.

Confermando quanto avvenuto, David Thiel, capo tecnologo dell’Internet Observatory della Stanford University, che aveva sollevato l’ipotesi, ha riferito che l’incidente non è frutto di un attacco informatico, ma di uno «spillover», una «perdita informatica»: «Diversa dalle violazioni dei dati degli incidenti provocati deliberatamente con un attacco informatico o una tecnica di ingegneria sociale, la dispersione di informazioni si verifica quando i dati sensibili vengono rilasciati in un ambiente non autorizzato».

La differenze è sottile, visto che hackeraggio («hacking») indica storicamente la capacità di piegare le macchine informatiche a usi non previsti e quelli non autorizzati sono oggi considerati sinonimo di attacco informatico.

L’autore dello «spillover» dei propri flussi audio dalla app aveva l’obbiettivo finale di consentire l’accesso a Clubhouse agli utenti Android, a chi non ha un codice d’invito e vuole usare il social col pc, attraverso un sito web da lui stesso realizzato, e ne ha pubblicato il metodo su GitHub. Solo successivamente un secondo attore sarebbe riuscito a diffondere altre chat attraverso lo stesso sito oggi chiuso.

Thiel ha minimizzato: «La creazione di strumenti e piattaforme per estrarre dati da un servizio è molto comune. È il caso degli strumenti creati per estrarre informazioni da Twitter».
Max Heinemeyer, direttore del Threat Hunting di Darktrace, azienda di intelligenza artificiale applicata alla cybersecurity, commentando la notizia ha detto: «Chi attacca sfrutta sempre le ultime tendenze del momento e sa che gli sviluppatori delle app spesso devono trovare un compromesso tra l’ingresso rapido sul mercato e la sicurezza. Sempre più fornitori tendono a considerare la sicurezza come qualcosa a cui pensare dopo gli attacchi, senza considerare che il danno collaterale che questo approccio comporta per gli utenti finali non può più essere sottovalutato».

Anche Thiel attribuisce i problemi di Clubhouse alla tendenza dei nuovi gadget tecnologici a lasciare lacune sfruttabili da parte degli utenti con varie motivazioni: «Ma questa piattaforma deve assicurarsi di mantenere ciò che promette, poiché è stato dimostrato che le conversazioni non sono completamente private».

«La raccolta di informazioni audio è un’arma estremamente potente per chi promuove un attacco. Per evitare che questi file finiscano in mani sbagliate dobbiamo prendere sul serio la sicurezza fin dal principio», ha detto invece l’esperto di DarkTrace.