“Κενά” στην ασφάλεια του TikTok – Ποιοι χρήστες κινδυνεύουν από χάκερ

Το TikTok, η πλατφόρμα βίντεο μικρής διάρκειας που συγκαταλέγεται μεταξύ των εφαρμογών με τις περισσότερες λήψεις παγκοσμίως, υπόκειται σε αυξημένο έλεγχο σχετικά με την ασφάλεια των δεδομένων του καθώς φυλάσσει τις προσωπικές πληροφορίες περισσότερων από ένα δισεκατομμύριο χρηστών.

Τη Δευτέρα, αρκετοί αναλυτές κυβερνοασφάλειας έκαναν tweet για την ανακάλυψη μιας υποτιθέμενης παραβίασης ενός ανασφαλούς διακομιστή που επέτρεψε την πρόσβαση στην αποθήκευση της TikTok, η οποία πιστεύουν ότι περιείχε προσωπικά δεδομένα χρηστών. Μόλις λίγες ημέρες νωρίτερα, η Microsoft Corp. δήλωσε ότι είχε βρει μια «μεγάλης σοβαρότητας ευπάθεια» στην εφαρμογή Android του TikTok, «η οποία θα επέτρεπε στους επιτιθέμενους να θέσουν σε κίνδυνο τους λογαριασμούς των χρηστών με ένα μόνο κλικ».

Το TikTok της ByteDance Ltd. ξεπέρασε το ένα δισεκατομμύριο μηνιαίους χρήστες πριν από ένα χρόνο και πλέον κατατάσσεται ως η αγαπημένη εφαρμογή πολλών νέων. Αυτό το καθιστά δελεαστικό στόχο για τους χάκερ που μπορεί να επιδιώξουν να καταλάβουν δημοφιλείς λογαριασμούς ή να μεταπωλήσουν ευαίσθητες πληροφορίες. Το 2020 χαρακτηρίστηκε ως απειλή για την προστασία της ιδιωτικής ζωής από την κυβέρνηση Τραμπ και σχεδόν απαγορεύτηκε λόγω ανησυχίας για πιθανές διασυνδέσεις μεταξύ της μητρικής εταιρείας του με έδρα το Πεκίνο και της κινεζικής κυβέρνησης.

Η TikTok ανέφερε ότι οι ισχυρισμοί περί παραβίασης που ανακαλύφθηκε το Σαββατοκύριακο ήταν ανακριβείς. «Η ομάδα ασφαλείας μας διερεύνησε αυτή τη δήλωση και διαπίστωσε ότι ο εν λόγω κώδικας δεν σχετίζεται καθόλου με τον πηγαίο κώδικα του backend του TikTok», δήλωσε εκπρόσωπος.

Ο Troy Hunt, ένας Αυστραλός σύμβουλος διαδικτυακής ασφάλειας, εξέτασε μερικά από τα δείγματα δεδομένων που αναφέρονται στα αρχεία που διέρρευσαν και βρήκε αντιστοιχίες μεταξύ των προφίλ των χρηστών και των βίντεο που αναρτήθηκαν με αυτά τα αναγνωριστικά. Αλλά ορισμένα στοιχεία που περιλαμβάνονται στη διαρροή ήταν «δημόσια προσβάσιμα δεδομένα που θα μπορούσαν να έχουν κατασκευαστεί χωρίς παραβίαση».

«Αυτό είναι μέχρι στιγμής αρκετά ασαφές – ορισμένα δεδομένα ταιριάζουν με πληροφορίες παραγωγής, αν και πρόκειται για δημόσια προσβάσιμες πληροφορίες. Ορισμένα δεδομένα είναι σκουπίδια, αλλά θα μπορούσαν να είναι δεδομένα μη παραγωγής ή δοκιμαστικά», ανέφερε στο Twitter. «Είναι λίγο ανάμεικτα μέχρι στιγμής».

Η ευπάθεια που εντοπίστηκε από τη Microsoft είναι ένα στενότερο ζήτημα που θα μπορούσε να επηρεάσει κινητά τηλέφωνα με λειτουργικό Android. Μπορεί να επέτρεπε στους επιτιθέμενους να έχουν πρόσβαση και να τροποποιούν «προφίλ και ευαίσθητες πληροφορίες του TikTok, όπως με τη δημοσιοποίηση ιδιωτικών βίντεο, την αποστολή μηνυμάτων και το ανέβασμα βίντεο για λογαριασμό των χρηστών», έγραψε ο Δημήτριος Βαλσαμάρας από την ερευνητική ομάδα Microsoft 365 Defender.

Ένας εκπρόσωπος της TikTok δήλωσε ότι η εταιρεία ανταποκρίθηκε γρήγορα στα ευρήματα της Microsoft και διόρθωσε το ελάττωμα ασφαλείας, το οποίο βρέθηκε «σε ορισμένες παλαιότερες εκδόσεις της εφαρμογής Android».

Όσο ασαφή ή μικρά κι αν είναι τα ζητήματα, θα υπάρξει έντονη εστίαση στο TikTok και τη μητρική του εταιρεία σε μια εποχή που οι ΗΠΑ ενδέχεται να εντείνουν τα μέτρα τους κατά των επιχειρήσεων που έχουν διασυνδέσεις με την Κίνα. Τον Ιούνιο, εννέα Αμερικανοί γερουσιαστές έγραψαν δημόσια επιστολή στον διευθύνοντα σύμβουλο της TikTok ζητώντας του να εξηγήσει τις υποτιθέμενες παραβιάσεις ασφαλείας.

Ο πρόεδρος Τζο Μπάιντεν αναμένεται να υπογράψει εκτελεστικό διάταγμα που θα περιορίζει τις αμερικανικές επενδύσεις σε κινεζικές εταιρείες τεχνολογίας και είναι πιθανή η ανάληψη ξεχωριστής δράσης με στόχο την TikTok, με την κυβέρνηση να δίνει ιδιαίτερη προσοχή στο κατά πόσον η κινεζική κυβέρνηση έχει πρόσβαση σε δεδομένα αμερικανών πελατών. Η εταιρεία έχει δηλώσει στους Αμερικανούς νομοθέτες ότι έχει λάβει μέτρα για την προστασία αυτών των δεδομένων μέσω σύμβασης με την Oracle Corp.

«Υπάρχει μεγάλη προσοχή στον τρόπο λειτουργίας της TikTok και υπάρχει μεγάλο χάσμα μεταξύ του τρόπου λειτουργίας της και του τρόπου που λέει ότι λειτουργεί», δήλωσε ο Robert Potter, συνδιευθύνων σύμβουλος της αυστραλο-αμερικανικής εταιρείας κυβερνοασφάλειας Internet 2.0 Inc.

Τον Ιούλιο, η ομάδα του Potter ανέφερε σε έκθεσή της ότι διαπίστωσε «υπερβολική συλλογή δεδομένων» που πραγματοποιεί το TikTok στις συσκευές των χρηστών, ότι η εφαρμογή ελέγχει τη θέση της συσκευής τουλάχιστον μία φορά την ώρα, και ότι διαθέτει κώδικα που συλλέγει σειριακούς αριθμούς τόσο για τη συσκευή όσο και για την κάρτα SIM.

Η έκθεση έτυχε μεγάλης προσοχής στην Αυστραλία και η Clare O’Neil, η νέα υπουργός Εσωτερικών Υποθέσεων, ανακοίνωσε τη Δευτέρα ότι διέταξε το υπουργείο της να διερευνήσει ποια δεδομένα αποκτά το TikTok και ποιος μπορεί να έχει πρόσβαση σε αυτά.

«Έχουμε αυτό το βασικό πρόβλημα εδώ – εταιρείες τεχνολογίας που εδρεύουν σε χώρες με μια πιο αυταρχική προσέγγιση του ιδιωτικού τομέα», δήλωσε η O’Neil σε σχόλια που στάλθηκαν μέσω ηλεκτρονικού ταχυδρομείου. «Το TikTok δεν είναι η αρχή και το τέλος αυτού του φαινομένου. Είναι ένα από τα πολυάριθμα ζητήματα που έχουν προκαλέσει αυτές οι πολύ κυρίαρχες εταιρείες τεχνολογίας και ο ρόλος που διαδραματίζουν στη ζωή μας».