Clubhouse擁有一億美元、大量個人資料、令人起疑的處理隱私的方式,而且這公司居然沒有安全長 (CSO)。在加入炙手可熱的全新社交應用程式之前,企業為了資訊安全,必須了解以下事項。
文/Terena Bell 譯/雲翻譯
社交媒體應用程式Clubhouse面世不到一年,已經面臨與隱私相關的官司,還因為使用者資料外洩的影響,導致一位使用者紀錄下並分享私人對話、使用者登入資訊、元資料至另一網站。
[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]
Clubhouse是什麼?
Clubhouse受到歐普拉溫弗瑞(Oprah Winfrey)、埃隆馬斯克(Elon Musk)、艾希頓庫奇(Ashton Kutcher)等名人的喜愛,Clubhouse的聊天室可讓使用者加入,以進行公開對話。由於有名人使用這個應用程式,因此行銷人員也想躬逢其盛,像蓋伊川崎(Guy Kawasaki)和塞思戈丁(Seth Godin)等行銷企劃界的知名人士也加入了Clubhouse。Milk Bar、Kool-Aid、Politico等品牌皆已在Clubhouse上建立了帳號;2020年12月時,Clubhouse甚至開始了官方的影響力行銷計劃。
Clubhouse的資安風險
隨著越來越多行銷人員加入Clubhouse,使用Clubhouse給企業帶來的資安風險也在增加。行銷一直是許多資安團隊難以合作的部門:行銷的角色是分享資料,而資安在本質上必須保護資料,而且在某些情況下,要阻止資料流出。當兩個部門共同努力以確保資訊的安全時,資安專家需要了解關於Clubhouse的哪些事?
與早期的Facebook相同,Clubhouse的使用者也受到排他性的驅使。除了名人使用Clubhouse外,該應用程式目前僅適用於iPhone。若要加入,必須由現有使用者發出邀請。為了邀請新使用者,現有的使用者能讓Clubhouse存取其手機上的通訊錄──無論通訊錄中之人是否希望Clubhouse擁有其個人資訊。接著,Clubhouse會建立庫存檔案,這個檔案會顯示這些尚未成為Clubhouse的使用者有多少聯絡人,並催促平台上的人邀請他們:「您不想讓John加入這個俱樂部嗎?他已經有九個朋友了!」
這樣的作法想當然爾造成了資安疑慮,而Clubhouse至今仍未回應。Clubhouse這個新創公司擁有全世界最富有、最知名的某些人士的私人手機號碼,但這家公司似乎沒有安全長。Clubhouse會記錄下在應用程式中發生的對話,然後與總部位於上海的新創公司聲網(Agora)合作,將對話暫時儲存於中國的伺服器上。
[CIO都在讀: 網路安全真相、數據與統計 ]
在歐洲,該公司面臨由消費者觀察組織德國消費者組織聯合會(Federation of German Consumer Organisations) 於今年1月27日提出申請之禁制命令,因為Clubhouse違反了歐盟的一般資料保護規則(GDPR)。2月21日,Clubhouse發生了資料外洩事件,有一位使用者操縱系統,在第三方網站上以線上串流方式實況轉播聊天室對話。
「Clubhouse是一個反隱私的超級傳播媒介,且後端基礎架構位於中國。這樣的應用程式在 App Store 上架並不安全,應該下架並重新設計架構,以確保其用戶(和非用戶)的安全。」黛博拉法柏(Debra Farber) 在2月14日發布的推特推文中如是說。
法柏曾是 Amazon Prime Video 的使用者隱私事務負責人,她已迅速成為Clubhouse安全性(或該說缺乏安全性)的獨立專家。她不是唯一批評這個應用程式的產業界領袖:隱私倡議宣導團體 The Rise of Privacy Tech 的創辦人露德絲圖雷查(Lourdes Turrecha)──法柏也擔任此團體顧問──指控Clubhouse操弄錯失恐懼症(FOMO)來解決重大的隱私問題。資訊治理及隱私諮詢公司Castlebridge的常務董事達拉布萊恩(Daragh Brien)甚至稱Clubhouse為「最小責任產品」──這個詞的來源是新創界術語「最小可行產品」──並將其定義為「在解決法規遵循或使用者安全需求方面做得非常少,最後官司纏身的情況幾乎無可避免,投資者應謹慎行事。」
這些都不是什麼好聽話,但是當行銷部門看到歐普拉溫弗瑞和艾希頓庫奇的魅力在他們面前閃閃發光時,來自資安和隱私專家的苛刻推文,並不會讓行銷人員將名人拒於門外。「儘管存在一些風險…我不確定限制是否會帶來好處。」Nord Security 的資安長維金塔麥克尼卡(Vykintas Maknickas)表示。他的假設是「Clubhouse在功能設計上是立意良善的,但是其中一些功能可能會被濫用」,例如聊天室資料外洩時發生的情況。他勸告大家,不要假設Clubhouse和Facebook一樣都是社群軟體,因此Clubhouse就一定會像Facebook一樣做出侵犯隱私的行為。【譯註:3月14日時,Clubhouse執行長保羅戴維森(Paul Davison)宣布Clubhouse不再存取會員的手機聯絡人,使用者可以要求Clubhouse刪除以前收集的聯絡人名單】
員工使用Clubhouse的風險
關於聊天室的錄音,麥克尼卡表示:「當某些員工在會議上發言時,使用者應該對這個功能投入最多的關注。」無論是在Clubhouse應用程式內,或外洩到第三方網站時,講者仍在公開分享資訊。
請考慮與公共關係部門合作制定政策,以協助講者宣傳公司品牌的同時,確保其資料安全。麥克尼卡說:「如果公司政策是審查所有討論要點,並指出需要忽略不理的話題,那麼的確,協調管理資料流可能會更加困難。但是,這樣的做法同樣適用於大多數社群軟體,而Clubhouse本身並不會帶來比其它應用程式更多令人擔憂的事物。」
[ 加入 CIO Taiwan 官方LINE,與全球CIO同步獲取精華見解 ]
但是,根據風險偵測公司 Theta Lake 的法令遵循總顧問兼副總經理馬克吉爾曼(Marc Gilman)的說法:「出於安全方面的考量,除分享或討論公共資訊外,所有任何其他事情皆應完全禁止。」在某個會議上,主辦人將所有與會者列於清單上並逐一審查。有些會議甚至在漆咸樓原則(Chatham House Rule)下運作,該規則限制與會者於會後分享相關資訊。【編註:維基百科說明漆咸樓原則,任何參加會議的人都可以自由使用討論中的資訊,但不允許透露誰發表了任何評論。】
另一方面,Clubhouse鼓勵所有使用者進入他們喜歡的任何對話,且沒有任何資訊分享限制。吉爾曼說:「如果沒有使用支援技術來預先審核記錄內容的機制,那麼對話可能會造成事後客訴,或包含了敏感個人身份資訊(PII)或機密資訊,這會是造成嚴重問題的風險,」Gilman說,「尤其是身處某些領域受特定法律規範的機構,他們需要考量與這些活動相關的、更廣泛的名譽風險。」
即使是不受管制的產業,也可能會有保密協議(NDA)以保護客戶個資,例如電話號碼、地址、生日以及Clubhouse用戶在其聯絡人中儲存的所有其它資料。在工作上使用私人手機的行銷人員,可能不會想到他們正在將公司的聯絡人上傳到系統中。Clubhouse為這些客戶建立的庫存檔案,會將您的公司的員工顯示為一位聯絡人──任何電話中有同一個聯絡人的同產業競爭對手,都可以看到聯絡人名單,因此可能引起競業情報問題。
將使用Clubhouse的員工風險減至最小
執行自備個人裝置(BYOD)政策的雇主應格外小心,因為分享聯絡人資訊並不違反NDA或其它法律和安全政策。首先要針對使用Clubhouse的風險進行教育,並附上明確的使用政策。
避免暴露聯絡人和資料的一種方法是,盡可能地控制Clubhouse可從員工的個人帳戶能夠存取的資料。大多數的企業行動裝置管理(MDM)系統允許您在使用者和公司擁有的裝置上分割個人和工作用資料。Apple的統一管理框架也是如此。如果您的組織都無法選擇這兩個選項,則可以從 Apple Store 取得MDM應用程式。
Clubhouse正在建立Android版本,因此請要求這些使用者打開手機的企業工作檔案功能,以進行提前計劃。
在撰寫本文時,Clubhouse的下載量已超過1000萬次,速度絲毫沒有變慢的跡象。這家新創公司的估值為10億美元,投資額超過1億美元。公司網站上張貼了兩則信任及安全分析師職位的徵才廣告。但工作內容的描述顯示,與真正的資訊安全職缺相比,上述職務的工作內容主要偏向與使用者溝通。
Clubhouse的主要投資人安德森霍洛維茨(Andreessen Horowitz)沒有回覆作者請求評論之要求。Clubhouse發送了一封請收件人不要回覆的電子郵件,鼓勵安全長加入Clubhouse。
(本文授權非營利轉載,請註明出處:CIO Taiwan)