世界で最も人気のあるショートビデオアプリであるTikTokは、データ侵害を受け、ソースコードとユーザーデータが盗まれたことを否定した。同社の否定は、数人のサイバーセキュリティアナリストが月曜日にアプリが週末にデータ侵害の被害者になったとツイートした後に出た。
TikTokのハッキングとされるニュースは金曜日、ハクティビストグループ「AgainstTheWest」(ATW)がTikTokとWeChatでセキュリティ侵害を発見したと主張したときに、初めて侵害フォーラムの掲示板に掲載された。
同グループは、TikTokとWeChatに属するとされるデータベースのスクリーンショットを公開し、ハッカーは両アプリユーザーのデータを含むアリババクラウドインスタンスにアクセスしていたと主張した。
攻撃者によると、このサーバーには、ユーザー データ、プラットフォーム統計、ソフトウェア コード、Cookie、認証トークン、サーバー情報などが含まれる 20 億 5000 万件のレコードが 790 GB の巨大なデータベースに含まれていました。このハッカーはまた、データを漏洩するか一般に販売するかはまだ決定していないと述べた。さらに、2 つのデータ サンプルへのリンクと、1 セットのデータベース サンプルのビデオも公開しました。
TikTokはAgainstTheWestのハッキング主張を否定し、すべての主張は虚偽であると述べた。同社はまた、ハッキングフォーラムで共有されたソースコードは同社のプラットフォームの一部ではないと付け加えた。
「これは不正確な主張です。当社のセキュリティ チームはこの声明を調査し、問題のコードは TikTok のバックエンド ソース コードとはまったく無関係であり、WeChat データとマージされていないと判断しました。」TikTokが伝えたピーピーコンピュータ声明で。
TikTokはBleepingComputerに対して一部のデータの存在を確認したが、同社は自動スクリプトによるユーザー情報の収集を避けるために適切なセキュリティ対策を講じているため、流出したユーザーデータは同社プラットフォームの直接的なデータスクレイピング活動に起因するものではないと付け加えた。
HaveIBeenPwned データ侵害通知サービスの作成者である Troy Hunt 氏は、漏洩したデータをテストし、いくつかの一致が確認されたことを発見しました。ツイッタースレッドデータ侵害が有効であること。ただし、漏洩した詳細の一部はすでに一般に公開されており、アクセスするために侵害を必要としないことも判明しました。
「これは今のところかなり決定的ではありません。公開されている情報であっても、一部のデータは本番情報と一致します。一部のデータはジャンクですが、非運用データまたはテスト データである可能性があります。今のところはちょっと複雑な状況だ」とトロイはツイートした。
これは今のところかなり決定的ではありません。公開されている情報であっても、一部のデータは本番情報と一致します。一部のデータはジャンクですが、非運用データまたはテスト データである可能性があります。ここまでは少々複雑な状況だ。
— トロイ・ハント (@troyhunt)2022 年 9 月 5 日
同様に、人気のデータ侵害ハンターであるボブ・ディアチェンコ氏とそのチームは、公開されたデータを調査し、その信頼性を確認しましたが、出所を特定することはできませんでした。
わかりました、#TikTok違反本物です。私たちのチームは公開されているリポジトリを分析し、部分的なユーザーデータの漏洩を確認しました。pic.twitter.com/8ygcRKBMc3
— ボブ・ディアチェンコ ?? (@MayhemDayOne)2022 年 9 月 5 日
ほんの数日前、Microsoft 365 Defender Research チームは明らかにしたTikTokのAndroidアプリケーションに、攻撃者がワンクリックでユーザーのアカウントを乗っ取ることを可能にする「重大度の高い脆弱性」を発見したと発表した。この脆弱性は詳細が公開される前にTikTokによってすでに修正されていた。
