TikTok nega denúncia de ciberataque a circular online
Um grupo de ciberatacantes diz que roubou milhares de dados pessoais de utilizadores do TikTok devido a um erro de segurança da plataforma. A rede social garante que não há provas do ataque.
O TikTok garante que não existem provas de que os seus sistemas tenham sido alvo de um ciberataque depois de um grupo de hackers alegar que roubaram dados de milhões de utilizadores da rede social.
Os rumores começaram a circular durante o fim-de-semana, quando um utilizador partilhou o roubo de 34 GB de dados do TikTok no Breach Forums, uma comunidade online frequentada por ciberatacantes. “Ainda estamos a decidir se queremos vender os dados ou divulgá-los”, escreveu o utilizador que usa o pseudónimo AgainstTheWest. “Há muita [informação] de menores de idade”, lê-se na publicação que inclui uma amostra dos supostos dados roubados.
O TikTok nega a informação. “A nossa equipa de segurança investigou estas alegações e não encontrou quaisquer provas de uma falha de segurança”, explica um porta-voz ao PÚBLICO.
A partilha no Breach Forums chegou dias depois de um alerta da equipa de cibersegurança da Microsoft sobre uma vulnerabilidade na app do TikTok para Android (Google).
A falha (conhecida por: CVE-2022-28799), que já foi corrigida, permitia a atacantes entrar nas contas de utilizadores através de links maliciosos – ou seja, bastava que alguém clicasse num link por engano para perder o acesso à sua conta.
Em resposta a questões do PÚBLICO, a equipa do TikTok explica que estes problemas ocorriam, apenas, em “algumas das versões antigas da app para Android” e que a rede social trabalhou com a Microsoft para os corrigir. A equipa nota que a vulnerabilidade dependia de “várias etapas encadeadas para ser explorada”, mas o porta-voz da rede social não adianta detalhes.
O criador do popular site Have I Been Pwned, que compila credenciais de acesso obtidas em fugas de informação, também não consegue provar a veracidade dos boatos que circulam online. “É bastante inconclusivo”, resumiu Troy Hunt numa publicação na rede social Twitter depois de analisar a amostra de dados partilhados no Breach Forum. “Isto são dados [que são] públicos, por isso podiam ter sido obtidos sem um ciberataque.”
Apesar de o ataque não se confirmar, a rede social recomenda que os utilizadores de Android confirmem que estão a utilizar a versão mais recente da aplicação.
