Analys om Clubhouse, Digitalisering
Datasäkerhet och Clubhouse – så slipper du ge appen din telefonbok
Hur säker är användarnas data hos Clubhouse och vad kan man göra för att skydda sina personliga kontakter i telefonboken? Brit Stakston reder ut.
Av Brit Stakston 16 februari, 2021
Clubhouse har på kort tid väckt stort intresse i Sverige. Appen har marknadsfört sig som en tjänst där samtalen inte lagras och är krypterade vilket gör att frågan om hur de lagrar användarnas data extra intressant.
Just nu är appen ännu i en slags betaversion. Det är endast de som använder sig av IOS som i dagsläget kan ladda ner appen. Ett klassiskt sätt för att öka intresset för en ny digital tjänst. När androidanvändare senare får tillgång kommer företaget få ytterligare en stark tillväxtkurva som stärker deras marknadsvärde.
I dag får man tillgång till appen antingen genom en inbjudan från en användare alternativt att man laddar ner appen och ställer sig i kön. Varje användare av appen får regelbundet inbjudningar att dela med sig av för att få ombord fler användare. Om en person som ställt sig i kö får den som delat med sig av sin telefonbok en notis om att person x ställt sig i kö. Man får då frågan “vill du släppa förbi x i kön?”.
Detta är alltså ett av sätten som tillgången till din telefonbok kan användas.
När man laddar ner en app bör man titta på vilken data man kommer att dela med sig av. För Clubhouse anger man att det är kontaktinformation, kontakter, användarinnehåll, identifieringsmarkörer, användardata och diagnostiska rapporter. Det finns också en länk till utvecklarnas sekretessinformation som uppger att de samlar data om att man registrerar sig för ett konto, skapar eller delar innehåll och kommunicerar med andra
För tillgången till telefonboken uppger man att den kommer att användas för att genom telefonboken rekommendera andra användare och innehåll samt att användarens konto och innehåll rekommenderas till andra. Appen fungerar dock utmärkt utan att ge tillgång till telefonboken.
I tidningen Journalisten varnade häromdagen medieforskaren Ulrika Hedman alla journalister från att använda appen. Med orden “data läcker hit och dit” uppmanade hon de svenska journalister som laddat ner appen att radera den.
Hon exemplifierade med hur telefonboken används och att man själv, även om man blockerar appen från tillgång till den egna telefonboken, inte kan styra om någon annan i sin tur ger tillgång till deras telefonbok där man själv ingår. Hon menar i artikeln att man därmed med lätthet kan röja källor när visselblåsare x har journalist y i sitt nätverk.
Detta är dock en sanning med modifikation och kräver en tillgång till data som ingen vanlig Clubhouseanvändare har.
En användare ser inte någon annans telefonbok. Kopplingen mellan journalisten och visselblåsaren kan i appen, bland användare, endast synliggöras om de väljer att följa varandra eller ännu tydligare om källan släpper in journalisten som står i kö eller skickar en inbjudan till den.
I profilsidan anges det längst ner vem som “nominerat” någon, detta kan vara den som skickat inbjudan eller släppt någon förbi i kön.
Känsliga källor bör vid användande av Clubhouse inte finnas i telefonboken alternativt finnas i en annan telefon.
Ulrika Hedman är också skeptisk till hur telefonboken exponerar hur många av de egna kontakterna som finns på Clubhouse. Det är en vanlig funktionalitet bland många sociala medietjänster. Även på Facebook är det enkelt att se vilka de gemensamma vännerna är. Det är i fallet med Clubhouse ocskå en funktionalitet som är tilltalande ur perspektivet “låt mig bjuda in den som har minst kontakter på Clubhouse” för att öka antalet perspektiv och personer ur fler än de givna kretsarna.
Det finns också sätt för en användare att stänga av tillgången till telefonboken (pedagogiskt beskrivet i filmen nedan) och hur man trots detta kan bjuda in enstaka vänner. Det kommer att kräva att man under en period raderar sina kontakter från den telefon man använder, men om de finns dock lagrade i molnet är de enkla att ladda ner igen när man återigen stoppat appen från att ha tillgång till adressboken.
Det landar alltid ett ansvar hos såväl användare som arbetsgivare när nya plattformar börjar användas i tjänsten.
De som har känsliga kontakter i telefonen och på sin dator bör vara extra varsamma med all användning av tjänster på internet. För Clubhouse bör man läsa igenom hur datan används, detaljinformationen återfinns hos Alpha Exploration.
Det är alltid en nyttig, men också delvis skrämmande läsning och påminner om de de mängder av data som samlas in för att få en apps alla funktionaliteter att fungera.
Clubhouse och Alpha Exploration som positionerat sig runt att samtalen inte sparas och är krypterade kommer nog i takt med det ökade antalet användare behöva se över en mängd aspekter av sin datahantering.
Inte för att de nödvändigtvis “läcker som ett såll” utan för att det finns en del ganska vaga formuleringar. Till exempel den om hur länge datan från ett rum egentligen sparas. I användarvillkor i Appstore står det att datan sparas när rummet är igång och om någon anmäler en incident i rummet sparas den direkt. Utan incident raderas datan när rummet är avslutat. Det är dock mer troligt att datan behöver samlas lite längre om inte annat för de uppenbara problem som måste finnas runt att behöva hantera så många konversationer samtidigt. Det kan också visa sig finnas faktorer som att man med tiden upptäcker att en användare kanske inte alltid anmäler i realtid på grund av okunskap om denna funktion eller av tveksamhet.
Blankspot skrev häromdagen om hur Clubhouse på grund av en leverantör med bas i Silicon Valley och Shanghai äventyrar kinesiska användares data. Det finns sannerligen fog för att kritisera Clubhouse för att marknadsföra sig som en Silicon Valley-produkt som inte sparar data när det visar sig att de använder sig av en underleverantör som de facto står under kinesisk lagstiftning för webbtjänster.
I användarvillkoren stod det följande under punkt 10 gällande internationella tjänster: “Genom att använda vår tjänst förstår du och bekräftar att dina personuppgifter kommer att överföras från din plats till våra anläggningar och servrar i USA, och där så är tillämpligt, till servrarna till de teknologipartners som vi använder för att tillhandahålla vår tjänst.”
Att detta skulle innebära metadataöverföring till servrar i Kina för kinesiska användare går inte att utläsa av detta vilket förstås är allvarligt.
Just detta har Clubhouse nu meddelat att de avser åtgärda.
En tysk dataskyddsmyndighet granskar nu också Clubhouse för att de anser att de troligen bryter mot EU:s GDPR-lagstiftning. De misstänks bryta mot GDPR-lagstiftningen bland annat för att man uppmanas att ladda upp telefonboken och därmed ge Clubhouse tillgång till både namn och telefonnummer till personer som inte använder appen och skapar så kallade skuggprofiler för dessa personer. Detta är något Facebooks WhatsApp tidigare fått kritik för.
Ytterligare kritik mot Clubhouse väcks också av de tyska myndigheterna att de bör även hänvisa till EU:s lagstiftning gällande dataskydd vilket de i dagsläget inte gör i användarvillkoren.
Läs också: Lär dig mer om riskanalyser i Blankspots säkerhetshandbok. Grunden i allt säkerhetsarbete är att skapa en tydlig och korrekt bild av vilka risker som finns, för att kunna fatta medvetna och informerade beslut om vilka risker som är värda att ta.
