TikTok Denies Data Breach Reportedly Exposing Over 2 Billion Users’ Information
2022/09/05 TheHackerNews — 人気のソーシャル・ビデオ・サービスの TikTok だが、安全が確保されないクラウド・サーバの侵害に成功したと主張するハッキング・グループについて、その報道内容を否定した。この ByteDance が所有する企業は The Hacker News に対して、「TikTok は、ユーザーのデータのプライバシーとセキュリティを最優先する。私たちのセキュリティ・チームは、それらの主張について調査を行ったが、セキュリティ違反の証拠は見つからなかった」と述べている。

この否定の声明は、9月3日に Breach Forums のメッセージボードで表面化した、ハッキングの疑惑報告を受けたものである。脅威アクターは、TikTok のサーバにが 790GB の巨大なデータベースが存在し、20億5000万レコードが保持されていると指摘している。
BlueHornet (別名 AgainstTheWest) と呼ばれるハッカー集団が、この週末にツイートした内容は「TikTok がゴミのようなパスワードを使って、すべてのバックエンド・ソースコードを、1つの Alibaba Cloud インスタンスに保存するなんて、誰が考えたのだろう?」というものだ。

Security Discovery の脅威情報研究者である Bob Diachenko は、「この侵入は本物であり、データの出所は TikTok ではなく、Hangzhou Julun Network Technology Co., Ltd. である可能性が高い」と述べている。
とはいえ、データの正確な出どころや、この種の情報への第三者によるアクセスなどは、現時点では不明確である。
セキュリティ研究者の Troy Hunt は、「いまのところ、決定的な情報はない。いくつかのデータは、生産情報と一致する。パブリックにアクセスできる情報ではあるが、いくつかのデータはジャンクだ。開発用/テスト用のデータの可能性がある、これまでのところ、バッグに詰め込まれた大量のデータとしか言えない」と述べている。
TikTok は中国政府との関係により、データセ・キュリティの実践に関する精査に直面し続けている。したがって、この展開は不幸なタイミングで生じている。
2022年8月31日の「TikTok for Android の脆弱性 CVE-2022-28799:アカウント乗っ取りが発生?」では、2022年2月に Microsoft から TikTok へと報告された、脆弱性 CVE-2022-28799 と、アカウント乗っ取りの可能性について述べられていました。ただし、専門家たちは、この脆弱性を悪用してアカウントを乗っ取るには、他の脆弱性との連携が必要になると指摘しています。そのため、今日の記事との関連性は不明です。

You must be logged in to post a comment.