TikTok-hack: 2B-records lekken – maar ByteDance ontkent

0
35


TikTok werd gehackt en er werden meer dan twee miljard records gestolen. Of dat zegt de beruchte lekgroep BlueHornet (a/k/a AgainstTheWest, AggressiveCurl). Maar TikTok zegt van niet.

De groep staat bekend om zijn aanvallen op bedrijven en regeringen op plaatsen die zij als “tegen het Westen” beschouwen – met name China, Rusland, Noord-Korea en Iran. Maar dit lek duwde Twitter en een ondergronds hackerforum te ver, waarbij beide de accounts van de groep verbannen.

AppSec/API-beveiliging 2022

Wat is er echt aan de hand? In de SB Blogwatch van vandaag sorteren we fictie van feit.

Je bescheiden blogwatcher heeft deze bloggy-bits samengesteld voor jouw vermaak. Om nog maar te zwijgen van: Tung-Tung metaal.

Voor jou Pest

Wat is de craic? Bill Toulas meldt: “TikTok ontkent inbreuk op de beveiliging nadat hackers gebruikersgegevens en broncode hebben gelekt”:

TikTok zal gedwongen worden actie te ondernemen
Op vrijdag heeft een hackgroep die bekend staat als ‘AgainstTheWest’ een onderwerp aangemaakt op een hackforum waarin wordt beweerd dat ze zowel TikTok als WeChat hebben gehackt. De gebruiker deelde screenshots van een vermeende database van de bedrijven, die volgens hen werd geopend op een Alibaba-cloudinstantie. … De dreigingsactor zegt dat deze server 2,05 miljard records bevat in een enorme database van 790 GB.

TikTok ontkent gehackt te zijn. … Als uit verdere analyse blijkt dat de gegevens legitiem zijn, zal TikTok worden gedwongen actie te ondernemen om de gevolgen van het lek te verminderen, zelfs als het niet is geschonden.

ByteDance in ontkenning? Emma Roth zwemt Egyptische rivieren – “TikTok ontkent berichten dat het is gehackt”:

Geen bewijs
In reactie op deze beschuldigingen zei TikTok dat het team “geen bewijs heeft gevonden van een beveiligingsinbreuk. … We hebben bevestigd dat de gegevensmonsters in kwestie allemaal openbaar toegankelijk zijn en niet te wijten zijn aan een compromittering van TikTok-systemen, -netwerken of databases. … We geloven niet dat gebruikers proactieve acties hoeven te ondernemen, en we blijven ons inzetten voor de veiligheid en beveiliging van onze wereldwijde gemeenschap”, zei TikTok-woordvoerder Maureen Shanahan.

Wie is het er niet mee eens? BeeHive CyberSecurity klinkt een beetje verdacht:

TikTok-inbreuk moet worden verdoezeld
TikTok heeft naar verluidt een datalek gehad en als het waar is, kan er de komende dagen gevolgen van zijn. We raden je aan om je TikTok-wachtwoord te wijzigen en Two-Factor Authentication in te schakelen.

We hebben een voorbeeld van de geëxtraheerde gegevens bekeken. … Inbreuk is #Bevestigd. … Een beveiligingsteam heeft de verantwoordelijkheid opgeëist: … Onderzoeker Credit @AggressiveCurl [aka ATW].

ATW is zojuist geschorst van Twitter en we weten niet precies waarom. … In onze persoonlijke ervaring is ATW gerenommeerd. … Vind het vreemd verdacht. … De TikTok-inbreuk moet worden verdoezeld.

Bedekken? Geef het aluminiumfolie door, mijn hoofd voelt naakt. Hier is Troy Hunt:

De thread op het hackforum met de voorbeelden van vermeende TikTok-gegevens is verwijderd en de gebruiker is verbannen wegens ‘liegen over datalekken’. … Ik denk dat het steeds waarschijnlijker wordt dat er geen inbreuk op TikTok was.

Dus wie is deze AgainstTheWest/BlueHornet-groep eigenlijk? Ze zijn keihard, volgens u/Rocksolidbubbles:

Blue Hornet zijn geen scriptkiddies. Ze zijn een serieuze pro-westerse aanhoudende dreigingsgroep die achter Chinezen, Russische, Noord-Koreaanse en… [other] antiwesterse doelen.

Oké, zo niet van TikTok, waar vandaan? Bob Diachenko—@MayhemDayOne—suggereert een alternatief:

TikTok-inbreuk is echt. Ons team analyseerde openbaar blootgestelde repo’s om een ​​gedeeltelijk datalek van gebruikers te bevestigen. De gegevens zijn waarschijnlijk afkomstig van Hangzhou Julun Network Technology Co., Ltd, en niet van TikTok.

Nog altijd, twee miljard verslagen? coofercat gromt:

Als blijkt dat iemand 2 miljard gebruikersrecords heeft gestolen, dan: [TikTok’s] reputatie … zal nog lager gaan. Er is iets ernstig mis met uw architectuur en processen als iemand die hoeveelheid gegevens kan exfiltreren. Hier hadden zoveel beschermingslagen tegen moeten zijn.

Natuurlijk maakt dit allemaal niets uit voor ‘da kids’ die gewoon voor een paar minuten een fineer of fame willen krijgen. Ze zullen niet worden verwijderd tenzij de app wordt verwijderd uit de app-winkels – en zelfs dan wed ik dat een groot aantal van hen ernaar zal kijken om het opzij te laden.

Potentiële PII terzijde, is er iets interessants voor geeks? Het is het algoritme, dom, denkt anders 123:

Het meest geprezen in TikTok is hoe ze video’s afstemmen op elke gebruiker. Terwijl Insta of Facebook afhankelijk zijn van viraliteit, kan TikTok je video’s laten zien die nauwelijks worden geliked en gedeeld, en je vindt ze op de een of andere manier leuk.

Na vijf jaar op LinkedIn de duidelijke waarheid te hebben gezegd, begrijpen ze me nog steeds helemaal niet. … Ze houden mijn feed gewoon gevuld met de meest “geïnteracteerde” inhoud.

Hoe kon dit ondertussen gebeuren? u/Makani_Kai heeft een vermoeden:

Ik heb veel voorbeelden gezien van softwarebedrijven die privésleutels opslaan in broncoderepository’s. … Ja, het is algemeen bekend dat u dit niet moet doen. Ja, mensen doen het nog steeds, want het is de weg van de minste weerstand. Meestal een “we komen er later op terug, laten we dit snel implementeren” situatie.

En tenslotte:

André kan geen genoeg krijgen van de Nooran Sisters

eerder in En tenslotte


Je hebt gelezen SB Blogwatch door Richi Jennings. Richi beheert de beste blogs, de beste forums en de vreemdste websites … zodat jij dat niet hoeft te doen. Haatmail kan worden gericht aan: @RiCHi of [email protected]. Vraag uw arts voordat u gaat lezen. Uw kilometerstand kan variëren. E&OE. 30.

Afbeeldingssaus: Eyestetix Studio (via Unsplash; genivelleerd en bijgesneden)



LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in