Los informes de una violación de datos surgieron por primera vez en un popular foro de hackeo durante el fin de semana, y atacantes afirmaron haber explotado un servidor inseguro que contenía información personal de los usuarios de TikTok.
Los reclamos coincidieron con una alerta de seguridad de Microsoft que advierte sobre una “vulnerabilidad de alta seguridad” en la aplicación de Android de TikTok, que podría haber permitido a los atacantes “comprometer las cuentas de los usuarios con un solo clic”.
Los presuntos atacantes afirman tener acceso a alrededor de 34 GB de datos de los usuarios de TikTok.
“Tenemos que decidir si queremos venderlo o lanzarlo al público”, escribió un usuario llamado AgainstTheWest en un foro de mensajes de Breach Forums.
“Se han extraído alrededor de 1.370 millones de enteros… Las entradas son de todo el mundo… Estos datos contienen una gran cantidad de personas menores de edad”.
El investigador de seguridad Troy Hunt, que opera el servicio de violación de datos Have I Been Pwned utilizado por docenas de gobiernos nacionales, analizó una muestra de 237 MB de los archivos enumerados en el foro de hackeo
Hunt no pudo verificar la legitimidad del hackeo de la muestra, alegando que los datos ya estaban disponibles públicamente.
“Hasta ahora, esto no es bastante concluyente”, tuiteó el lunes. “Algunos datos coinciden con la información de producción, aunque la información es de acceso público. Algunos datos son basura, pero podrían ser datos de prueba o que no sean de producción. Es un poco confuso hasta ahora”.
Un portavoz de TikTok negó que se haya producido una infracción y agregó que la vulnerabilidad identificada por Microsoft “no tiene ninguna relación” con el código fuente del backend de TikTok.
“TikTok prioriza la privacidad y la seguridad de los datos de nuestros usuarios”, dijo un portavoz a The Independent . “Nuestro equipo de seguridad investigó estos reclamos y no encontró evidencia de una violación de seguridad”.
TikTok es el sitio web más visitado del mundo, según la firma de seguridad Cloudflare, y superó a Google en 2021.
Su empresa matriz, ByteDance, con sede en China, ha sido criticada anteriormente por compartir detalles sobre sus algoritmos con el gobierno chino, mientras que también se han planteado preocupaciones de seguridad sobre la participación del estado.
Una demanda de 2019 afirmó que TikTok había “aspirado clandestinamente y transferido a servidores en China grandes cantidades de datos de usuarios privados y de identificación personal que pueden emplearse para identificar, perfilar y rastrear la ubicación y las actividades de los usuarios en los Estados Unidos ahora y en el futuro”, acusación que ByteDance niega.
La aplicación ya está prohibida tanto por el Ejército de los EE. UU. como por la Marina de los EE. UU. debido a problemas de seguridad.
“Durante mucho tiempo ha habido mucho escrutinio sobre la forma en que TikTok maneja su propia seguridad y la forma en que cuida la privacidad de sus usuarios, lo que naturalmente atrae la atención de grupos criminales y actores de estados nacionales”, dijo Jake Moore, un experto en seguridad cibernética. asesor de la firma de software ESET.
Créditos: Raúl Martínez
