Analys om ,

Hur mycket data läcktes och vad hände när Clubhouse kunde laddas ner i Kina?

Trots att Clubhouse-appen var blockerad i Kina lyckades kinesiska användare ladda ner den. Men vad hände när appen plötsligt blev viral bland kinesiska användare och hur säker var datan?

De som var inne på appen Clubhouse innan kinesiska användare blockerades, kunde under några timmar lyssna in i rum där ämnen diskuterades som vanligtvis är tabu på andra kinesiska plattformar.

I flera av rummen diskuterade demonstranter i Hongkong, fastlandsbor i Kina och uigurer från nordvästra Kina i regionen Xinjiang situationen i unika samtal där man delade erfarenheter. Deltagarna pratade öppet om alltifrån känsliga politiska frågor som demokratiutveckling och situationen för de muslimska uigurerna till musik, företagande och vardagshändelser.
I andra rum diskuterades arbetsvillkor för de som är anställda som matbud hos olika appföretag, deras motsvarighet till Foodora och Volt.

Arbetsvillkoren har blivit en het fråga efter olyckor och dödsfall i Kina.

En anställd tände eld på sig själv i protest för att inte ha få ut sin lön från Alibabas matleveransapp Ele.me. Han överlevde men allt dokumenterades i en video som blev viral på Weibo. Ytterligare en annan video på Weibo visar hur två matbud från ett annat företag dör av utmattning.

När två av produktcheferna från Ele.me gick med i ett rum på Clubhouse blev det häftiga diskussioner. Wall Street Journal skriver om hur de anställdas arbetsvillkor fortsatte att diskuteras långt efter att produktcheferna lämnade rummet.

I ett annat rum genomfördes en tyst minut på årsdagen av den visselblåsande läkaren doktor Li Wenliang död. Han rapporterade tidigt om viruset från sjukhuset i Wuhan och även från sin egen dödsbädd när han senare drabbades av Covid-19. Några av hans sista ord före sin död var ”att ett hälsosamt samhälle borde ha mer än en röst.” vilket gjort att det blir ett extra ställningstagande för yttrandefrihet att påminna om Dr Lis insats för att sprida kännedom om Covid-19.

Den stora oron nu ligger förstås i vilken utsträckning som den kinesiska regeringen kunde komma över användardata under de dagar appen var möjlig att ladda ner i Kina.

I en rapport från Stanford Internet Observatory, SOI, anger de att Clubhouse använder sig av en underleverantör för programvaran som i realtid som levererar en backend-infrastruktur till Clubhouse. Programvarans uppgift för användarupplevelsen kan enklast beskrivas som att vara en slags operatör för realtidsljud.

SOI menar att den kinesiska staten skulle kunna få tillgång till rådatafilerna med ljud samt tillgång till metadata. Företaget heter Agora och är baserat i såväl Silicon Valley som Shanghai vilket innebär att de är underställda den kinesiska regeringen och deras hantering av användares data.

Om den kinesiska regeringen anser att ett ljudmeddelande äventyrar den nationella säkerheten, skulle Agora enligt lag vara skyldig att hjälpa regeringen att lokalisera och lagra datan. En del av de politiska diskussioner som fördes under de dagar appen var tillgänglig i Kinas skulle kunna sortera under kategorin hot mot nationell säkerhet.
Dataåtkomst hade kunnat förhindras om ljudfilerna var krypterade, men SOI menar att de inte är det. Datan som går till Kinas servrar innehåller ljudfilernas metadata, användarens Clubhouse-id samt id till de rum en enskild användare besökt.

SIO valde att avslöja dessa säkerhetsproblem offentligt i sin rapport, eftersom de är relativt lätta att avslöja, och eftersom de utgör omedelbara säkerhetsrisker för Clubhouse miljoner användare, särskilt de i Kina. De säger sig också ha upptäckt ytterligare säkerhetsfel som de vidarebefordrat direkt till Clubhouse och som de kommer att avslöja offentligt först när de är fixade eller har fått en fastställd tidsfrist för att åtgärdas.

Agora menar att de inte lagrar vare sig ljudfiler eller användardata. SIO skriver i sin rapport att om det överförts data mellan ett rum i Clubhouse och servrar i Kina så kan den kinesiska regeringen sannolikt samla in metadata, utan att ens behöva komma åt Agoras nätverk.

Sammanfattningsvis skriver SIO att om den kinesiska regeringen kan komma åt användardata via Agora skulle kinesiska användare av Clubhouse kunna vara i fara. De skriver samtidigt att det dock är viktigt att komma ihåg att möjligheten att få åtkomst till användardata inte är samma sak som att få tillgång till den. Den kinesiska regeringen präglas av en stor och ibland mycket besvärlig byråkrati. Det är lätt att överdriva den kinesiska regeringens organisation menar de.

Clubhouse har dock meddelat att de kommer att se över sin datahantering efter de säkerhetsfel som Stanford Internet Observatory uppmärksammat enligt nyhetsbyrån Reuters och uppger att de inom de närmaste dygnen kommer att säkerställa att ingen data framöver kommer att gå via kinesiska servrar.

Att appen stängdes ner i Kina har säkerligen att göra med de politiska samtal som fördes i appen menar SIO. I tidningen Global Times, en statlig nationalistisk tidning, skrev man i en ledare att de ”politiska diskussioner som sker på Clubhouse ofta är ensidiga och att röster för Kina lätt kan undertryckas”.

I Kina släpps ofta klonade egna versioner av de flesta nya sajter och appar, i ett av samtalen vittnade en person om de fyra-fem olika versionerna av LinkedIn som redan finns på marknaden och att även stadsguider som Yelp piratkopieras och dyker upp i en mängd olika versioner.

Hens spaning var att så kommer det bli även med Clubhouse.

Clubhouse kan trots blockeringen användas i Kina om man använder sig av VPN och har ett telefonnummer via ett utländskt sim-kort eller Google Voice.

Vid midnatt natten till onsdag svensk tid kommer rapporten från SOI att diskuteras på just Clubhouse av klubben ”War, defense and International Security” och rapportskrivarna är inbjudna.