剛火起來就被曝出資訊洩露風險,這個熱門App還好嗎?

騰訊安全發表於2021-03-11

產業網際網路時代,一款產品只要擊中使用者心中的某個角落,就能在位元世界裡激起共鳴,變身眾人追捧的“網紅”。初創公司對年輕人喜好的變化更加敏感,時不時就能湧現出一些“爆款”產品。但它們往往因為網路安全建設薄弱,難以應對突然暴漲的流量,和隨之而來的網路攻擊。


近日語音社交軟體ClubHouse一度風靡全球,廣泛熱議之下卻被曝出存在資訊洩露風險。


01

曝出資訊洩露風險,ClubHouse急速降溫


ClubHouse在產品體驗上有點像中國網際網路初期的BBS語音聊天室,使用者可以在軟體內開設公開或私密的語音聊天室。不同的是,ClubHouse的聊天室內不允許傳送影片或文字,也無錄音回放功能。普通使用者可以進入自己感興趣的聊天室,但除非舉手並被主持人允許否則不能發言。


ClubHouse之所以在美國受到關注,很大程度是因為它戳中了疫情下的社交需求。而科技圈頂流馬斯克“親自帶貨”則幫助它順利“破圈”。嚴格的邀請碼註冊制,讓ClubHouse走紅後變得一碼難求,激起了不少使用者的攀比心理,進一步起到了推波助瀾的作用。


圖片


然而高歌猛進的同時,ClubHouse卻被潑了兩盆冷水:


內容檢測乏力,屢次出現風險內容

作為一個開放的網路交流空間,使用者可以在ClubHouse聊天室內發起各種話題的討論,當中極可能混有涉黃、涉暴等敏感資訊,對網路環境的純淨造成威脅。由於缺乏有效的內容檢測機制,ClubHouse屢次出現討論風險內容的房間。


同時,ClubHouse的內容檢測確實存在一定挑戰。語音是相對非結構化的資料,稽核難度比較大,方言、口音等都會對內容稽核的準確性造成考驗。更重要的是,直播形式對內容稽核的實時性提出了極高要求,人工稽核根本無法勝任。


因此,近年來運用大資料和人工智慧演算法的智慧稽核產品越來越受到關注。以騰訊安全的內容安全產品為例,利用AI和大資料技術,騰訊安全天御不僅能實時過濾音訊內容,還能對惡意文字、影像、影片等內容進行毫秒級的精準識別。


音訊對話被上傳到第三方平臺,洩露原因不明

日前,ClubHouse發言人Reema Bahnasy透露,一位身份不明的ClubHouse使用者在未經允許的情況下,將多個房間的音訊對話上傳到了第三方平臺。但其並未披露具體洩露了哪些資料,以及是因為什麼原因導致的資料洩露。


有研究表明,ClubHouse的使用者ID和聊天室ID為明文傳輸,可能遭遇惡意監聽,聊天室的音訊可能被暫存在伺服器。預設情況下,App的使用者端並不儲存音訊錄音資料,運營者也未對聊天內容做管理。


從以上資料判斷,作為初創公司,ClubHouse團隊並未在資訊保安方面做好充分準備。本次資訊洩露事件,並不清楚是源於ClubHouse被攻擊,還是其他原因。洩露資料的人可能只是同步做了錄音,對部分聊天室的ID做了分析。僅靠ClubHouse安裝在使用者手機上的App,並不能阻止使用者同步使用錄音裝置。


對於ClubHouse這樣的初創團隊來說專家建議在客戶端和伺服器的通訊進行加密傳輸,降低資料被竊聽的風險。服務端應該採取有效措施防止駭客入侵,保護客戶註冊資訊、聯絡人資訊、聊天室音訊資料等關鍵資料安全。


02

網路安全已成為初創公司的重要軟肋


像ClubHouse這樣經歷爆火之後,因為網路安全問題熱度直線下跌的產品,近年來並不少見。2019年8月,一款“換臉”App刷屏了不少人的朋友圈。使用這款APP,使用者僅需上傳一張自拍照,就可以化身影視片段中的主角,體驗演員的樂趣。這一功能瞬間引發大量網友嘗試及轉發,在社交網路上形成病毒式傳播。不過,這款軟體很快就因為App使用者隱私協議不規範,存在資料洩露風險等網路安全問題引發爭議。


2020年初,受新冠肺炎疫情影響,遠端辦公需求暴增,某主打多人視訊會議的協作工具站上了風口,不僅全球使用者數量激增,而且市值逆勢上揚,較一年前IPO時翻了兩倍,一時間風頭無兩。不曾想,幾個月後這款視訊會議軟體接二連三地被曝出安全漏洞,並遭到SpaceX和NASA 內部禁用。甚至被警告提醒使用者使用該視訊會議軟體時注意網路安全問題,不要在社交媒體上廣泛分享會議連結,以防機密資訊被駭客獲取。一場網路安全危機,讓其錯失了市場擴張的最佳時機。


圖片


面對頻發的網路安全事件,“安全左移”已經成為越來越多人的共識。騰訊副總裁丁珂更是直言,要把網路安全建設作為一把手工程重點關注,在生產流程中把安全建設前置。然而現實中,企業剛推出一款產品時,由於前景尚不明朗,往往不願意花大力氣進行網路安全建設;等到產品爆火時安全能力無法及時跟上,導致安全問題頻發,給企業和品牌形象造成巨大損失,甚至徹底失去突圍的機會。某種程度而言,網路安全問題已經成了初創公司的重要軟肋,決定了它未來發展的天花板。


03

雲原生安全,初創公司的安全最優解


雲原生安全是當前網路安全領域的熱點話題。雲原生安全作為一種新興的安全理念,不僅解決了雲端計算普及帶來的安全問題,更強調以原生的思維構建雲上安全建設、部署與應用,推動安全與雲端計算深度融合。

圖片

雲原生安全理念將安全能力內建於雲平臺中,實現雲化部署、資料聯通、產品聯動,可以充分利用安全資源,降低安全解決方案使用成本,實現真正意義上的普惠安全。對於各方面資源尚不充足的初創公司來說,雲原生安全不但能以較低的成本滿足產品啟動初期的安全需求,還可以在產品使用者數急速增長時及時跟上需求的變化,堪稱初創公司的安全最優解。


諸多優勢下,雲原生安全近年來已成為了國內各大安全廠商爭相發力的目標。以騰訊安全為例,圍繞雲原生安全,騰訊安全已搭建起了包含安全治理、資料安全、應用安全、計算安全、網路安全等五個領域的完備雲原生安全防護體系。去年疫情期間,騰訊安全雲原生安全體系支撐騰訊會議快速擴容,取得8天雲主機擴容10萬臺、上線2個月日活突破1000多萬、100天更新20個版本的成績。


對於初創企業而言,安全並非成功的充分條件,但一定是最不可或缺的必要條件。過去,安全對初創企業有著不小的門檻,而云原生安全時代讓它們變得觸手可及。

相關文章