TikTok nega megavazamento de dados de usuários

O TikTok negou ter sido vítima de um megavazamento de informações, afirmando oficialmente que o volume de mais de dois bilhões de entradas que surgiu no último final de semana não pertence à empresa. No banco de dados que foi publicado em um fórum cibercriminoso estariam dados de usuários, estatísticas de uso, cookies e tokens de autenticação, assim como detalhes dos servidores da rede social e até o código fonte dela.

• 10 formas de tornar o TikTok uma plataforma mais segura e privativa
• 5 dicas para ter mais privacidade nas redes sociais

Em comunicado oficial, a plataforma afirmou que as alegações feitas pelo grupo Against the West, que assumiu autoria da intrusão, são falsas. O principal motivo para isso seria a localização de códigos de integração com o mensageiro WeChat em meio à programação da rede social — ela afirma que jamais uniu seus serviços ao do app de comunicação, com outros indícios analisados por seu time de segurança indicando que o vazamento não pertence à empresa.

Os dados, também, não seriam possíveis de serem obtidos a partir de raspagem de dados, quando sistemas automatizados varrem serviços em busca de informações públicas. O TikTok afirmou que a plataforma tem defesas contra essa prática — especialistas em segurança, por outro lado, apontam a ampla presença de informações abertas no volume vazado, o que indicaria um processo desse tipo.

"Parece que o ATW foi banido do fórum que postaram o tópico se gabando. Eles não publicaram amostras de dados de usuários, pelo que vi. Postaram "amostras de dados", que eram basicamente tabelas vazias."

A origem do banco de dados vazado também foi questionada pelos próprios cibercriminosos. Enquanto a conta do Against the West no Twitter foi bloqueada pela plataforma, o grupo também foi impedido de utilizar o mesmo fórum em que publicou o banco de dados, com a indicação de que estariam mentindo sobre o volume. A amostra de informações postada por eles, inclusive, traria apenas tabelas falsas e arquivos ligados a sistemas, em vez de dados de usuários.

Uma análise das informações postadas pelos bandidos, feita pelo especialista Troy Hunt, do site de alerta sobre vazamentos Have I Been Pwned, reforça a ideia de que as informações disponíveis são públicas. Ele localizou, por exemplo, IDs de vídeos postados na plataforma, dados de produção e desenvolvimento do aplicativo e links para interfaces, bem como dados falsos — fortes indicativos de que a ideia de um vazamento, efetivamente, não procede.

Data is likely to come from Hangzhou Julun Network Technology Co., Ltd rather than TikTok. Still, the question is, why is there so much data? pic.twitter.com/zYbE7JC7mt

— Bob Diachenko 🇺🇦 (@MayhemDayOne) September 5, 2022

"Ok, o vazamento do TikTok é real. Nosso time analisou as amostras e confirmou um vazamento parcial de dados de usuários. Eles provavelmente são da Hangzhou Julun Network Technology Co., Ltd, e não do TikTok. Ainda assim, a pergunta é: porque tantos dados?"

O analista e consultor em segurança Bob Diachenko seguiu por outro caminho e foi capaz de confirmar que houve, sim, uma exposição de dados, ainda que ela possa não ter o TikTok como origem. Dados parciais de usuários fariam parte do volume, junto a indicações de que ele pertenceria a uma empresa de e-commerce e pagamentos chinesa chamada Hangzhou Julun Network Technology, segundo dados de integração também disponíveis no vazamento.

O TikTok ainda não se pronunciou sobre esse novo desenvolvimento. Enquanto isso, também não existe indicação de segurança aos usuários além de medidas de higiene digital básicas, como o uso de autenticação em duas etapas e senhas aleatórias e diferentes para cada plataforma; a troca de credenciais, entretanto, pode não ser necessária, já que, pelo menos por enquanto, não existem confirmações de que dados de acesso efetivamente vazaram da rede social.

Fonte: Bleeping Computer, Troy Hunt (Twitter)