Wat je moet weten
- TikTok, eigendom van ByteDance, heeft naar verluidt een inbreuk op de broncode en gebruikersgegevens opgelopen.
- De claim komt van een hackgroep; TikTok ontkent het echter.
- De woordvoerder van TikTok ontkent verder de bewering dat blootgestelde gegevens openbaar beschikbaar zijn.
Volgens de BeeHive Cyber-beveiligingsgroep bevond TikTok zich dit weekend in een nieuw datalek. Het beveiligingsteam zei verder dat het werd uitgevoerd door een hackgroep genaamd AgainstTheWest (@AggressiveCurl). Het respectieve Twitter-handvat is nu geschorst (op het moment van schrijven).
Update: #TikTok #Inbreuk is #Bevestigd. We hebben een voorbeeld van de geëxtraheerde gegevens bekeken. Aan onze e-mailabonnees en particuliere klanten hebben we al waarschuwingsberichten gestuurd. Niet op de lijst? https://t.co/LjjH6vmNAS#DataLeak #DataBreach #CyberAlert #CyberAttack https://t.co/0diXWsfnxS4 september 2022
Het BeeHive-team drong er bij TikTok-gebruikers op aan hun huidige wachtwoord te wijzigen en tweefactorauthenticatie in te schakelen. TikTok heeft snel gereageerd en merkte op dat de inbreuk onjuist was (via Bloomberg).
“Ons beveiligingsteam heeft deze verklaring onderzocht en vastgesteld dat de code in kwestie helemaal niets te maken heeft met de backend-broncode van TikTok”, zegt een woordvoerder tegen Bloomberg.
Volgens een ander rapport van Bleeping Computer beweerde de AgainstTheWest-groep dat ze sociale-mediaplatforms zoals TikTok en WeChat hebben geschonden. De groep heeft screenshots geüpload van een vermeende database van de bedrijven, waarvan ze beweren dat deze is geopend via een Alibaba-cloudservice.
Ze hebben er verder op aangedrongen dat de genoemde server naar verluidt 2,05 miljard records en meer dan 790 GB aan gebruikersgegevens, broncode, statistieken, authenticatietokens en meer bevat.
TikTok heeft ook aan Bleeping Computer aangegeven dat bovengenoemde hack niet klopt. Het bedrijf dat eigendom is van ByteDance, drong er verder op aan dat de gedeelde broncode van de hackgroep geen deel uitmaakt van zijn platform.
“Dit is een onjuiste claim – ons beveiligingsteam heeft deze verklaring onderzocht en heeft vastgesteld dat de code in kwestie helemaal niets te maken heeft met de backend-broncode van TikTok, die nooit is samengevoegd met WeChat-gegevens”, zegt TikTok tegen Bleeping Computer.
TikTok-woordvoerder Maureen Shanahan sprak met The Verge en verklaarde: “We hebben bevestigd dat de gegevensmonsters in kwestie allemaal openbaar toegankelijk zijn en niet te wijten zijn aan een compromis van TikTok-systemen, -netwerken of databases.”
“We geloven niet dat gebruikers proactieve acties hoeven te ondernemen en we blijven ons inzetten voor de veiligheid en beveiliging van onze wereldwijde gemeenschap.”
Troy Hunt, de oprichter van Have I Been Pwned, heeft het eerste rapport van BeeHive gevolgd. Hij graaft verder en suggereert dat de vermeende gedeelde gegevens al openbaar toegankelijk zijn, nou ja, in ieder geval het grootste deel ervan.
Maar dit zijn allemaal openbaar toegankelijke gegevens, dus het *had* kunnen worden geconstrueerd zonder inbreuk te maken, laten we verder kijken…4 september 2022
In een andere tweet vermeldt hij ook enkele gegevens die overeenkomen met productie-informatie die publiekelijk toegankelijk is, en een deel ervan is naar verluidt rommel. Het impliceert dat het tot nu toe een allegaartje aan gegevens kan zijn.
Over het algemeen heeft de veelgeprezen hackgroep zijn Twitter opgeschort met de presentatie van de vermeende hack. De groep is ook verbannen van een forum onder vermelding van “liegen over datalekken”.