La popolare piattaforma di condivisione video TikTok ha riconosciuto un problema di sicurezza che è stato sfruttato da attori malevoli per prendere il controllo di account di alto profilo sulla piattaforma.
Il malware che ha bucato vari account su TikTok
Lo sviluppo è stato riportato per la prima volta da Semafor e Forbes, che hanno stilato rapporti dettagliati su una campagna di acquisizione di account senza click, che consente al malware propagato tramite messaggi diretti di compromettere account di marchi e celebrità senza dover cliccare o interagire con esso.
Al momento non è chiaro quanti utenti siano stati colpiti, anche se un portavoce di TikTok ha dichiarato che l’azienda ha adottato misure preventive per fermare l’attacco e prevenirlo in futuro.
L’azienda ha inoltre affermato che sta lavorando direttamente con i titolari degli account colpiti per ripristinare l’accesso e che l’attacco è riuscito a compromettere solo un numero “molto piccolo” di utenti; tuttavia non sono stati forniti i dettagli specifici sulla natura dell’attacco o sulle tecniche di mitigazione che l’azienda cinese ha impiegato per difendersi da tale attacco informatico.
Attacchi di questo genere contro TikTok in realtà non sono propriamente una novità
Questa non è la prima volta che vengono scoperti problemi di sicurezza nel servizio ampiamente utilizzato; già nel gennaio 2021, Check Point ha esposto un rapporto dettagliato su una falla in TikTok che avrebbe potuto potenzialmente consentire a un attaccante di creare un database degli utenti dell’app e dei loro numeri di telefono associati per future attività dannose.
Poi, nel settembre 2022, Microsoft ha scoperto un exploit con un solo clic che interessava l’app Android di TikTok, che avrebbe permesso agli attaccanti di prendere il controllo degli account quando le vittime cliccavano su un link appositamente creato.
Non è tutto; fino a 700.000 account TikTok in Turchia sono stati compromessi l’anno scorso, dopo che sono emerse segnalazioni che il greyrouting dei messaggi SMS attraverso canali non sicuri ha permesso agli avversari di intercettare le password monouso e accedere agli account degli utenti TikTok, gonfiando i like e i follower.
I criminali informatici hanno anche sfruttato la Invisible Challenge di TikTok per diffondere malware che ruba informazioni, mettendo in evidenza i continui sforzi degli attaccanti per diffondere malware tramite mezzi non convenzionali.
Secondo qualcuno la piattaforma è “problematica” perché cinese
Le radici cinesi di TikTok hanno sollevato preoccupazioni sul fatto che l’app potrebbe essere utilizzata come canale per raccogliere informazioni sensibili sugli utenti americani e diffondere propaganda, portando infine all’approvazione di una legge che vieterebbe l’app video nel paese a meno che non venga dismessa da ByteDance.
Lo scorso mese, il gigante dei social media ha presentato una causa negli Stati Uniti contestando l’atto, dichiarando che si tratta di una “intrusione straordinaria sui diritti di libertà di parola” e che gli Stati Uniti hanno avanzato solo “preoccupazioni speculative” per giustificare il divieto.
Altri paesi come India, Nepal, Senegal, Somalia e Kirghizistan hanno imposto divieti simili su TikTok, con diversi altri paesi, tra cui gli Stati Uniti, il Regno Unito, il Canada, l’Australia e la Nuova Zelanda, che vietano l’uso dell’applicazione social sui dispositivi governativi.
Perché la stessa critica non esiste sulle piattaforme occidentali
Avrai sicuramente sentito parole simili “non fidarti di TikTok è cinese, ruba i nostri dati“, quando poi le stesse persone fanno largo uso di piattaforme occidentali (Facebook, Instagram, Twitter e via discorrendo).
Il sospetto verso TikTok è spesso alimentato dalle sue origini cinesi e dalle preoccupazioni riguardo alla possibilità che il governo cinese possa accedere ai dati raccolti dall’applicazione.
Queste paure sono radicate nelle leggi cinesi che impongono alle aziende di collaborare con le autorità statali in materia di sicurezza nazionale, il ché porta molti a temere che TikTok possa essere obbligato a condividere informazioni sensibili con il governo cinese.
Al contrario, le applicazioni occidentali come Facebook, Google e Microsoft, pur raccogliendo e utilizzando enormi quantità di dati personali, non suscitano lo stesso livello di preoccupazione; questo può essere attribuito a una percezione di maggiore trasparenza e regolamentazione in paesi democratici (o almeno così è in apparenza), dove esistono controlli e bilanciamenti più rigorosi sulla privacy dei dati.
Tuttavia, è importante notare che queste aziende occidentali sono state coinvolte in numerosi scandali relativi alla privacy e alla sorveglianza, (vedi il caso Cambridge Analytica che ha coinvolto META con Facebook) come il programma PRISM della NSA, e questo evidenzia un doppio standard nella percezione pubblica.
Questa dicotomia può derivare da una combinazione di fiducia culturale, familiarità con le aziende e una maggiore visibilità mediatica delle problematiche di privacy legate alle aziende cinesi, una sorta di “questa cosa è sicura perché è dei nostri”, per intenderci.
Non solo TikTok, breve ripasso di Cambridge Analytica
Non solo TikTok desta preoccupazioni per la privacy dei dati; un caso emblematico riguardante le applicazioni occidentali è quello di Cambridge Analytica, come appena accennato: nel 2018, è emerso che questa società aveva ottenuto in modo improprio i dati personali di milioni di utenti di Facebook senza il loro consenso, utilizzandoli per influenzare le campagne politiche, inclusa quella delle elezioni presidenziali statunitensi del 2016.
Lo scandalo ha sollevato gravi interrogativi sulla gestione dei dati da parte di Facebook e ha evidenziato come le piattaforme occidentali non siano immuni da pratiche di sfruttamento dei dati e questo caso ha portato a un aumento della consapevolezza pubblica riguardo alle vulnerabilità nella protezione dei dati personali, dimostrando che le preoccupazioni sulla privacy non sono limitate alle applicazioni cinesi, ma riguardano l’intero ecosistema digitale globale.
Casi analoghi
TikTok e Facebook non sono certamente i primi social media (e non saranno sicuramente nemmeno gli ultimi) ad avere avuto problematiche con i dati degli utenti, di seguito una lista di casi simili:
- Scandalo Equifax (2017): Una delle principali agenzie di credito degli Stati Uniti, Equifax, ha subito una delle più grandi violazioni di dati nella storia, compromettendo le informazioni personali di oltre 147 milioni di persone, inclusi nomi, numeri di previdenza sociale, date di nascita, indirizzi e, in alcuni casi, numeri di patente di guida.
- Violazione di dati di Yahoo (2013-2014): Yahoo ha rivelato che tutti e 3 miliardi di account utente erano stati compromessi in una serie di attacchi informatici tra il 2013 e il 2014. I dati rubati includevano nomi, indirizzi email, numeri di telefono, date di nascita e, in alcuni casi, domande di sicurezza e risposte crittografate o non crittografate.
- Facebook e il caso della raccolta di dati di terze parti (2019): Facebook ha rivelato che centinaia di milioni di numeri di telefono associati agli account degli utenti erano stati archiviati in un server non protetto; inoltre, è stato scoperto che alcune app di terze parti avevano accesso a foto private di utenti senza il loro consenso.
- Violazione di dati di Marriott International (2018): La catena alberghiera Marriott ha segnalato che i dati personali di circa 500 milioni di clienti erano stati esposti in un attacco informatico che è durato dal 2014 al 2018; le informazioni compromesse includevano nomi, indirizzi email, numeri di passaporto e dettagli sulle prenotazioni.
- Google+ e la falla nella sicurezza (2018): Google ha chiuso il suo social network Google+ dopo aver rivelato che una falla nella sicurezza aveva esposto i dati personali di circa 500.000 utenti; la vulnerabilità era stata presente per oltre due anni prima di essere scoperta.
Questi sono solo alcuni esempi come il recente caso di violazione su TikTok non sia una cosa recente, ma praticamente legata al mondo dei Social Media fin dalla loro comparsa (o quasi).
