Clubhouse, il rischio cinese su metadati e conversazioni del social del momento
L GARANTE italiano per la protezione dei dati personali era stato fra i primi a muoversi, chiedendo chiarimenti. L'authority aveva ragione a volerne sapere di più rispetto alle garanzie sul trattamento e sulla privacy fornite da Clubhouse, l'applicazione che sta sbancando anche in Italia nelle ultime settimane. C'è infatti una discreta confusione intorno alla piattaforma, confermata anche da un rapporto dello Stanford Internet Observatory che ha scoperto come la collaborazione con un'azienda cinese, tale Agora, consentirebbe non solo la trasmissione in chiaro di metadati di una certa rilevanza ma potenzialmente anche la registrazione e il prelievo di frammenti di registrazioni dalle "room", le stanze che costituiscono il cuore dell'app dentro cui centinaia o migliaia di persone discutono in contemporanea di praticamente ogni argomento possibile.
Nel documento il gruppo di Stanford spiega infatti che Clubhouse, creatura della società californiana Alpha Exploration, utilizza anche i servizi di un gruppo cinese noto come Agora con sede a Shanghai e uffici anche nella Silicon Valley. Cosa fa questa Agora? Fornisce alla piattaforma un pezzo dell'infrastruttura tecnologica grazie alla quale possiamo chiacchierare in libertà e con grande linearità dai quattro capi del globo e in tempo reale. Insomma, sarebbe lo "scheletro" sul quale si appoggiano le infinite stanze piene di infinite discussioni, costruito secondo la società Trend Micro su una vecchia versione della libreria vocale della startup cinese contraddistinta da protocolli crittografici ormai obsoleti e che fra l'altro forza i dati a transitare dalla Cina anche per utenti europei e statunitensi. Il primo problema è proprio questo: secondo gli esperti quando un utente si unisce a una stanza, un pacchetto di metadati viene inviato a questa infrastruttura. Sono informazioni che includono il proprio ID Clubhouse, univoco, e l'ID della stanza a cui quell'utente sta partecipando. Tutto questo non sarebbe appropriatamente crittografato, e questo "significa che qualunque terza parte potrebbe accedere al network personale di un utente". Saltando con il "clubhouser" di stanza in stanza. Sarebbe per esempio molto facile, in questo modo, capire se due utenti stiano parlando l'uno con l'altro all'interno della stessa room.
Non solo. C'è dell'altro e di più preoccupante. Secondo il gruppo di Stanford i tecnici di Agora potrebbero accedere al traffico audio grezzo. Significa che se le conversazioni non sono crittografate end-to-end, cosa che secondo il Sio è "estremamente improbabile", Agora potrebbe intercettare in modo molto semplice, registrare, conservare o trascrivere tutto quello che accade nelle room. O almeno delle porzioni delle conversazioni. Un problema di sorveglianza enorme soprattutto nel rapporto fra autorità centrali di Pechino e utilizzo della piattaforma. Che infatti, lanciata in Cina con un artificio, è stata subito chiusa. Ma appoggiarsi a un fornitore di servizi cinese, spiega anche Gizmodo, significa che Agora è obbligata a rispettare le leggi locali sulla cybersicurezza. Secondo i ricercatori la stessa azienda ha riconosciuto che sarebbe obbligata a fornire al governo assistenza e supporto su indagini penali e sicurezza nazionale qualora le autorità ritenessero che quanto si dice in una stanza o in una conversazione compromettesse appunto la sicurezza del paese: in quelle occasioni il gruppo sarebbe obbligato a individuarle e registrarle. Occorre fra l'altro ricordare che le stanze su Clubhouse non sono tutte pubbliche: c'è l'opportunità di consentire l'accesso solo agli utenti della propria cerchia o addirittura di metterne in piedi di privare, a cui partecipano solo utenti selezionati. E anche l'identità non dev'essere necessariamente chiarita: la piattaforma è piena di utenti registrati con nickname, nomignoli o con pseudonimi.
Dunque il fronte della privacy riguardo Clubhouse, valutata oltre un miliardo di dollari grazie ai maxi-investimenti del potente fondo di venture capital Andreessen-Horowitz, si allarga. Già uno sguardo alla privacy policy lasciava in effetti sorpresi gli esperti del settore quasi una settimana fa: secondo l'authority guidata da Pasquale Stanzione, per esempio, Clubhouse non si allinea in nessun modo a quanto previsto dal regolamento generale europeo per la protezione dei dati personali agli utenti europei entrato in vigore dal 2018. L'ultimo aggiornamento del documento risale addirittura allo scorso 2 novembre ed è tutto costruito intorno alla legge sulla privacy dello stato della California, senza fornire indicazioni sul trattamento dei dati - limitandosi cioè a spiegare che gli utenti internazionali, se usano il servizio, riconoscono che le informazioni personali saranno trasferite "ai nostri server negli Stati Uniti" - né sul controllo dell'iscrizione di utenti minori. Il limite per l'uso è fissato a 18 anni ma non c'è alcun sistema per verificarlo e c'è da scommettere che anche su questo punto, come avvenuto per TikTok e le altre piattaforme, il garante si muoverà. Il problema è che al momento non si sa neanche con chi parlare, perché oltre alla base giuridica per il trattamento dei dati (e quindi conservazione, trasferimento a terze parti, profilazione pubblicitaria e così via) manca anche una rappresentanza europea a cui muovere questi rilievi. C'è inoltre un aspetto interessante, destinato a sollevare molti altri problemi: la voce - timbro e tono - sono dati biometrici che, in teoria, meriterebbero particolari tutele. Nulla, ovviamente, viene detto sul punto né sulle moderazioni dei contenuti.
Tornando al rapporto firmato dallo Stanford Internet Observatory, Agora sostiene di non memorizzare i metadati o l'audio delle conversazioni a eccezione dell'uso che ne fa per monitorare la qualità della rete e far così pagare i suoi clienti per i servizi tecnologici. Insomma deve sincerarsi che l'infrastruttura funzioni per potersi far saldare il conto da Clubhouse e da altri. Ciononostante per i ricercatori è teoricamente possibile per il governo cinese infilarsi nella rete di Agora e prelevare quelle informazioni, o chiedere alla società di farlo per suo ordine. La difesa di Agora sembra scivolosa: a Reuters, ha spiegato che non ha commenti da fare su alcuna relazione con Clubhouse, quasi a negare la collaborazione. E una portavoce ha detto che i propri server non veicolano informazioni generate al di fuori della Cina.
Clubhouse ha invece spiegato di essere "profondamente impegnata nella protezione dei dati e della privacy degli utenti", ricordando fra l'altro di non aver mai lanciato l'applicazione in Cina, dove è stata resa disponibile per poco tempo da altri e in modo non ufficiale, rendendone possibile il download. I rischi di questa infrastruttura nella repubblica popolare sono enormi, ovviamente: prima che Pechino bloccasse la piattaforma si discuteva di tutto, dalla repressione degli uiguri nei campi di concentramento nello Xinjiang alle proteste di piazza Tienanmen, tema ancora tabù dopo 32 anni dalla primavera del 1989, fino alle rivolte di Hong Kong. Ma lo sono ovviamente anche per i milioni di utenti in tutto il mondo (sarebbero oltre 10 milioni i download con circa 6 milioni di utenti attivi). Non bastasse, il Sio ha spiegato di aver individuato altre falle nella privacy e di averle comunicate a Clubhouse in modo privato, per impedirne l'uso, e che saranno chiarite solo una volta risolte.
Il social vocale, che forse in queste settimane è cresciuto a tal punto da lasciarsi indietro diversi aspetti centrali per una società con una simile valutazione e successo, ha appunto riconosciuto i problemi, spiegando per esempio che "per una piccola percentuale del nostro traffico, i ping di rete contenenti l'ID utente vengono inviati ai server di tutto il mondo, che possono includere server in Cina, per determinare il percorso più veloce verso il client". E aggiungendo che "nelle prossime 72 ore implementeremo modifiche per aggiungere ulteriore crittografia e blocchi per impedire ai clienti Clubhouse di trasmettere ping ai server cinesi". L'app ha inoltre in programma di coinvolgere una società di sicurezza esterna per proporre e convalidare queste modifiche. Vedremo anche se nei prossimi giorni arriveranno degli aggiornamenti alla privacy policy e i chiarimenti richiesti dalle autorità di protezione.