Un supuesto hackeo a TikTok podría haber expuesto los datos de más de mil millones de usuarios, según han advertido investigadores de ciberseguridad.
Los informes de una violación de datos surgieron por primera vez en un popular foro de hacking durante el fin de semana, con los hackers afirmando haber explotado un servidor inseguro que contenía información personal de los usuarios de TikTok.
Las afirmaciones coincidieron con una alerta de seguridad de Microsoft que advertía de una “vulnerabilidad de alta seguridad” en la aplicación Android de TikTok, que podría haber permitido a los atacantes “comprometer las cuentas de los usuarios con un solo clic.”
Los presuntos hackers afirman tener acceso a unos 34GB de datos de los usuarios de TikTok.
“Tenemos que decidir si queremos venderlo o liberarlo al público”, escribió un usuario llamado AgainstTheWest en un tablón de mensajes de Breach Forums.
“Se han extraído unos 1.370 millones de entradas… Las entradas son de todo el mundo… Estos datos contienen un montón de personas menores de edad”.
El investigador de seguridad Troy Hunt, que gestiona el servicio de filtración de datos Have I Been Pwned, utilizado por decenas de gobiernos nacionales, analizó una muestra de 237 MB de los archivos listados en el foro de hacking.
El Sr. Hunt no pudo verificar la legitimidad del hackeo a partir de la muestra, alegando que los datos ya estaban disponibles públicamente.
“Esto es hasta ahora bastante inconcluso”, dijo tuiteó el lunes. “Algunos datos coinciden con la información de producción, aunque de acceso público. Algunos datos son basura, pero podrían ser datos de no producción o de prueba. Hasta ahora es una mezcla de datos”.
Un portavoz de TikTok negó que se hubiera producido ninguna brecha, añadiendo que la vulnerabilidad identificada por Microsoft “no tiene ninguna relación” con el código fuente del backend de TikTok.
TikTok es el sitio web más visitado del mundo, según la empresa de seguridad Cloudflare, habiendo superado a Google en 2021.
Su empresa matriz ByteDance, con sede en China, ha sido criticada anteriormente por compartir detalles sobre sus algoritmos con el gobierno chino, mientras que también se han planteado preocupaciones de seguridad sobre la participación del Estado.
A 2019 demanda afirmaba que TikTok había “aspirado clandestinamente y y transferido a servidores en China grandes cantidades de datos privados y de identificación personal de los usuarios que pueden ser empleados para identificar, perfilar y rastrear la ubicación y las actividades de los usuarios en los Estados Unidos ahora y en el futuro”, una acusación que ByteDance niega.
La aplicación ya está prohibida por el Ejército y la Marina de Estados Unidos por motivos de seguridad.
“Hace tiempo que hay mucho escrutinio sobre la forma en que TikTok maneja su propia seguridad y la forma en que cuida la privacidad de sus usuarios, lo que naturalmente atrae la atención de los grupos criminales, así como de los actores del estado-nación”, dijo Jake Moore, un asesor de ciberseguridad de la firma de software ESET.
“Ya sea que esto resulte ser datos verdaderamente privados causando que cada cuenta sea potencialmente vulnerable o simplemente información abierta del sitio, los usuarios deben asegurarse de tener activadas las alertas de seguridad dentro de la app y la autenticación de dos factores activada, así como asegurarse de que su contraseña utilizada en la cuenta sea única para cualquier otra cuenta.”
Comments