“基本上，我会继续跟你说话，但我会消失，”长期的安全研究员凯蒂·穆萨里斯(Katie Moussouris)今年2月在俱乐部的一间私人房间里对我说。“我们还会继续交谈，但我会离开。”然后她的头像消失了。我是一个人，至少看起来是这样。“就是这样，”她在数字世界里说。“这是错误。我他妈是个鬼。”

音频社交网络Clubhouse首次亮相已经一年多了。在那段时间里，它的爆炸性增长伴随着一系列安全、隐私和滥用问题。这包括一个由Moussouris发现的、现在已经修复的新披露的漏洞，它可以让攻击者潜伏在俱乐部房间里偷听，而不被察觉，或者用语言打断主持人无法控制的讨论。

该漏洞也可能在几乎没有技术知识的情况下被利用。你所需要的只是两台安装了Clubhouse的iphone和一个Clubhouse账户。(Clubhouse目前仍只支持iOS平台。)要发动攻击，你首先要在电话A上登录你的俱乐部账号，然后加入或启动一个房间。然后你可以在b号电话上登录你的俱乐部账户，然后自动退出a号电话，加入同一个房间。这就是问题开始的地方。手机A会显示一个登录屏幕，但不会让你完全退出。你还能和你所在的房间保持实时连接。一旦你在电话B上“离开”了同一个房间，你就会消失，但在电话A上可以保持幽灵连接。

在右边的屏幕上，穆萨里斯消失了，但她的俱乐部的幽灵依然存在。

放大/在右边的屏幕上，穆萨里斯不见了，沐鸣开户测速但她在俱乐部的幽灵依然存在。

Lily Hay Newman | Clubhouse

Moussouris还发现，黑客可以使用更技术的机制发起攻击，或对其进行变异。但它可以如此轻易地完成这一事实凸显了缺陷的重要性。穆萨里斯称窃听攻击为“斯蒂尔魂”，打断攻击为“女妖轰炸”。

由于任何房间都存在漏洞，她认为，这个漏洞代表了Clubhouse在处理隐私问题、骚扰、仇恨言论和其他虐待时的最坏情况。对于音频聊天应用来说，不知道谁在偷听对话，或者因为无法阻止隐形人说话而不得不关闭一个房间，这些都是噩梦般的情况。

穆萨里斯在3月初向公司提交了她的调查结果后，她说Clubhouse并没有立即做出回应，并且花了几周时间才完全解决了这个问题。最终，Clubhouse向Moussouris解释说，它修复了两个与该发现相关的bug。一种方法是确保幽灵参与者总是静音，即使他们在房间里盘旋也听不到房间的声音，基本上把他们困在了Clubhouse炼狱里。第二个bug修复解决了缓存显示问题，因此如果用户登录到另一个旧设备，他们会在旧设备上更完全地登出。穆萨里斯说，她自己还没有完全验证这些修复，但这种解释是有道理的。

广告

Clubhouse的一名发言人在一份声明中说:“我们感谢像凯蒂这样的研究人员的合作，沐鸣开户测速他们帮助我们发现了用户体验中的一些漏洞，并允许我们在任何用户受到影响之前迅速解决这些漏洞。”“随着我们的不断发展，我们欢迎与安全和隐私界继续合作。”

Moussouris一直等到今天才发表她的研究，而不是在Clubhouses修复后立即上线，以履行她为这家初创公司设定的45天披露窗口。该公司通过第三方供应商HackerOne有一个漏洞奖励计划。

其他曾与Clubhouse合作，通过《加州消费者隐私法》(California Consumer Privacy Act)处理安全披露和数据请求的研究人员表示，该公司反应迟缓。类似地，记者给Clubhouse的主要新闻收件箱发邮件时通常会收到自动回复:“Clubhouse团队收到了大量的媒体请求。不幸的是，我们无法回应所有的询问。”

隐私和数据保护律师、前联邦贸易委员会(Federal Trade Commission)律师惠特尼•梅里尔(Whitney Merrill)表示，她在试图向Clubhouse提交CCPA申请时遇到了这些成长中的烦恼。该法律允许加州居民向数据公司索取自己的信息，并在45天内收到。尽管美林不是俱乐部用户,她强烈怀疑该公司举行了她的一些数据,因为它提示用户分享他们的地址簿应用。经过数周的没有反应,美林说,她最终能够看到数据会所拥有对她,并要求其删除。

我不认为创业公司有正确的动机去关心隐私和安全问题，所以你最终会和10年前的其他公司打同样的仗，”美林说。“这并不是说没有人在吸取教训，而是没有激励人们服从或关心这些事情。”

至少你不用再冒被俱乐部里的幽灵轰炸的危险了。