SAN FRANCISCO (BLOOMBERG) – Seminggu setelah aplikasi chatroom audio populer Clubhouse mengatakan pihaknya mengambil langkah-langkah untuk memastikan data pengguna tidak dapat dicuri oleh peretas atau mata-mata jahat, setidaknya satu penyerang telah membuktikan audio langsung platform dapat disedot.
Seorang pengguna yang tidak dikenal dapat melakukan streaming umpan audio Clubhouse akhir pekan ini dari “beberapa kamar” ke situs web pihak ketiga mereka sendiri, kata Ms Reema Bahnasy, juru bicara Clubhouse.
Sementara perusahaan mengatakan telah “secara permanen melarang” bahwa pengguna tertentu dan menginstal “pengamanan” baru untuk mencegah pengulangan, peneliti berpendapat platform mungkin tidak dalam posisi untuk membuat janji-janji tersebut.
Pengguna aplikasi iOS khusus undangan harus menganggap semua percakapan sedang direkam, Stanford Internet Observatory (SIO), yang pertama kali secara terbuka mengangkat masalah keamanan pada 13 Februari, mengatakan pada Minggu malam (22 Februari).
“Clubhouse tidak dapat memberikan janji privasi apa pun untuk percakapan yang diadakan di mana pun di seluruh dunia”, kata Mr Alex Stamos, direktur SIO dan mantan kepala keamanan Facebook Inc.
Mr Stamos dan timnya juga dapat mengkonfirmasi bahwa Clubhouse bergantung pada start-up yang berbasis di Shanghai bernama Agora Inc untuk menangani sebagian besar operasi back-endnya. Sementara Clubhouse bertanggung jawab atas pengalaman penggunanya, seperti menambahkan teman baru dan menemukan kamar, platform ini bergantung pada perusahaan China untuk memproses lalu lintas data dan produksi audionya, katanya.
Ketergantungan Clubhouse pada Agora menimbulkan masalah privasi yang luas, terutama bagi warga negara China dan pembangkang di bawah kesan percakapan mereka berada di luar jangkauan pengawasan negara, kata Mr Stamos.
Agora mengatakan tidak dapat mengomentari protokol keamanan atau privasi Clubhouse dan bersikeras tidak “menyimpan atau berbagi informasi identitas pribadi” untuk setiap kliennya, di mana Clubhouse hanyalah salah satunya. “Kami berkomitmen untuk membuat produk kami seaman yang kami bisa”, kata perusahaan itu.
Selama akhir pekan, para ahli cyber-security memperhatikan bahwa audio dan metadata sedang ditarik dari Clubhouse ke situs lain.
“Seorang pengguna menyiapkan cara untuk membagikan loginnya dari jarak jauh ke seluruh dunia”, kata Robert Potter, CEO Internet 2.0 yang berbasis di Canberra, Australia. “Masalah sebenarnya adalah orang-orang menganggap percakapan ini bersifat pribadi.”
Pelaku di balik pencurian audio akhir pekan membangun sistem mereka sendiri di sekitar toolkit JavaScript yang digunakan untuk mengkompilasi aplikasi Clubhouse. Mereka secara efektif menjadi juri platform tersebut, kata Stamos. SIO mengatakan tidak menentukan asal atau identitas para penyerang.
Sementara Clubhouse menolak untuk menjelaskan langkah-langkah apa yang diambil untuk mencegah pelanggaran serupa, solusi mungkin termasuk mencegah penggunaan aplikasi pihak ketiga untuk mengakses audio chatroom tanpa benar-benar memasuki ruangan atau hanya membatasi jumlah kamar yang dapat dimasuki pengguna secara bersamaan, kata Mr Jack Cable, seorang peneliti di SIO.
Seminggu yang lalu, SIO merilis laporan yang mengatakan bahwa mereka mengamati metadata dari ruang obrolan Clubhouse “yang diteruskan ke server yang kami yakini akan dihosting” di Tiongkok. Kewajiban Agora terhadap undang-undang keamanan siber Tiongkok berarti bahwa Agora diwajibkan secara hukum untuk membantu menemukan audio jika pemerintah menganggapnya membahayakan keamanan nasional.
Clubhouse baru-baru ini mengumpulkan US$100 juta (S$132 juta) dengan penilaian US$1 miliar yang dilaporkan. Agora telah melonjak lebih dari 150 persen sejak pertengahan Januari. Sekarang nilainya mendekati US$10 miliar.
Pada awal Februari, pengguna Clubhouse di China mengatakan mereka tidak dapat mengakses aplikasi setelah ledakan diskusi oleh pengguna daratan tentang topik tabu dari Taiwan ke Xinjiang.
Untuk saat ini, tampaknya pengguna masih dapat mengakses aplikasi dengan menggunakan jaringan pribadi virtual, salah satu dari sedikit cara orang di daratan Cina dapat menjelajahi Internet di luar Great Firewall.