Um grupo de pesquisadores do Stanford Internet Observatory verificou que as práticas de proteção de segurança do Clubhouse não eram tão seguras assim, permitindo que dados dos usuários, incluindo áudios inteiros, fossem potencialmente acessados ​​pelo governo chinês.

Em um novo relatório, os pesquisadores do SIO revelam que a rede social de áudio usa a empresa chinesa Agora Inc, que fornece uma plataforma de engajamento de voz e vídeo em tempo real, para garantir a infraestrutura por trás do funcionamento do app.

É aqui que a coisa começa a ficar alarmante: o SIO descobriu que, quando os usuários entram em um canal no Clubhouse, um pacote contendo metadados sobre cada usuário é enviado para a infraestrutura do Agora. As informações incluem a ID exclusiva do Clubhouse dos usuários e a identificação da sala à qual estão ingressando. Nenhum conteúdo é criptografado, “o que significa que qualquer terceiro com acesso ao tráfego de rede de um usuário pode acessá-lo”.

Os pesquisadores alertam que, “dessa forma, alguém pode descobrir se dois usuários estão conversando entre si”. Além disso, eles descobriram que a companhia Agora provavelmente teria acesso ao tráfego de áudio bruto do Clubhouse. Ou seja, se o áudio não for criptografado de ponta a ponta – algo que o SIO diz ser “extremamente improvável” -, a Agora poderia interceptar, transcrever e armazenar o som por completo.

Alguns de vocês podem estar se perguntando por que o Clubhouse tem um provedor chinês, sendo que também possui escritórios no Vale do Silício. Acontece que a Agora deve cumprir a lei de segurança cibernética da China, o que, na prática, obriga a companhia a prestar assistência e apoio ao país em questões relacionadas à segurança nacional e investigações criminais. Em outras palavras: “Se o governo chinês determinasse que uma mensagem de áudio ameaçava a segurança nacional, a Agora seria legalmente obrigada a ajudar o governo a localizá-la e armazená-la”, escreveram os pesquisadores.

De acordo com o relatório, a Agora afirma que não armazena áudio ou metadados do usuário, exceto para monitorar a qualidade da rede de seus clientes. No entanto, os pesquisadores observam que ainda é teoricamente possível para os governos chineses acessar as redes da Agora e registrar dados do usuário.

A Agora disse à Reuters no último sábado (13) que não tinha comentários sobre qualquer relacionamento com o Clubhouse. Um porta-voz afirmou que a empresa não tem acesso ou armazena dados pessoais, nem que transfere o tráfego de voz e vídeo gerado fora da China, incluindo a atividade de usuários dos EUA.

Assine a newsletter do Gizmodo

O SIO destacou o risco potencial enfrentado pelos usuários chineses do Clubhouse se o governo conseguir identificá-los, especialmente devido à atividade recente do aplicativo no país. Antes de o governo bloqueá-lo no início da semana passada, os usuários chineses do aplicativo discutiram abertamente tópicos que são restritos na China, como democracia e os projetos de Hong Kong. Essa identificação dos usuários pelo governo pode levar a represálias e punições, ou mesmo a ameaças veladas.

Os pesquisadores decidiram revelar esses problemas de segurança porque as falhas eram fáceis de encontrar. Além disso, disseram que os problemas representam riscos de segurança imediatos para milhões de usuários do Clubhouse, especialmente os que estão na China. A equipe SIO também descobriu outras falhas de segurança já relatadas ao Clubhouse, dizendo ainda que as revelaria quando fossem corrigidas ou após um determinado prazo.

O Clubhouse respondeu ao relatório da SIO e disse que estava “profundamente comprometido com a proteção de dados e privacidade do usuário”. O aplicativo afirmou que, embora ainda não tenha lançado o Clubhouse na China, alguns encontraram uma solução alternativa para fazer o download do app, e que “as conversas das quais eles faziam parte poderiam ser transmitidas por servidores chineses”. Os pesquisadores também disseram que o Clubhouse aceitou receber ajuda para identificar áreas onde poderia fortalecer sua proteção de dados.

O Gizmodo US entrou em contato com o Clubhouse e a Agora para comentar o relatório SIO, mas ainda não obtivemos resposta.