テクノロジー

2022.09.07 09:30

TikTokが20億件のデータ漏洩を否定、今ユーザーがすべきこと

Getty Images

今月初め、私はセキュリティ研究者がTikTok(ティックトック)の重大な脆弱性を発見し、ユーザーが1クリックでアカウントを乗っ取られる可能性があることを報告した。この問題は、Android(アンドロイド)アプリのユーザーに影響を与え、TikTokによって随分前にパッチが適用されている。しかし、TikTokのユーザーが安堵のため息をついた矢先、TikTok USがハッキングされたという報告が、まずオンラインのデータ・ブリーチ・マーケットプレイス・フォーラムで、そしてTwitter(ツイッター)で出回り始めた。TikTokの広報担当者は、セキュリティ侵害の証拠は見つかっていないと述べている。セキュリティ専門家は、TikTokのユーザーに対し、用心のためとにかくパスワードを変更し、2要素認証を確実に作動させることを勧めている。

TikTokのハッキング疑惑


ハッキング疑惑の最初の報告は、米国時間9月3日にBreach Forums(ブリーチ・フォーラム)の掲示板に出た。AgainstTheWestというハンドルネームのユーザーが、TikTokとWeChat(ウィーチャット)に侵入したスクリーンショットと称するものを投稿した。その投稿の中で、このユーザーは、盗まれたとされるデータについて「それを売りたいのか、公開したいのか、まだ決めていない」と述べた。2つのデータサンプルへのリンクと、1セットのデータベーステーブルの動画が公開されていた。さらに投稿者は、データベースから20億件のレコードを抽出したと主張している。9月3日のツイッター投稿では、ユーザーのBlueHornet|AgainstTheWest(ブルーホーネット|アゲインスト・ザ・ウェスト)は「内部バックエンドソースコード」を盗んだとも主張している。

TikTok「セキュリティ侵害の証拠はない」


詳しい情報を得るためにTikTokに連絡を取った私に、TikTokの広報担当者は以下のように答えた。「TikTokは、ユーザーデータのプライバシーとセキュリティを優先しています。当社のセキュリティチームがこれらの主張を調査したところ、セキュリティ侵害の証拠は見つかりませんでした」

Bloomberg UKによる以前の声明では、盗まれたソースコードの疑惑を直接取り上げていた。「我々のセキュリティチームはこの声明を調査し、問題のコードはTikTokのバックエンドソースコードとはまったく無関係であると判断しました」

しかし、このデータがどこからきたのかという疑問は、まだ残っている。

データ流出情報サイトhaveibeenpwnedのトロイ・ハントは、サンプルデータが本物かどうかを検証するために、ツイッターに長文のスレッドを投稿した。多くの分析の後、彼の結論は、この証拠は「今のところ、かなり決定的ではない」ということだ。ハントはさらに、本番の情報と一致するデータもあるが、これもいずれにせよ公開されているものだという。彼はまた、いくつかの「ジャンク」データを見つけたが、これは非本番またはテストデータである可能性があることを認めている。
次ページ > 流出したサンプル内のデータが「漏洩」元を探る手がかりに

翻訳=上西 雄太

タグ:

ForbesBrandVoice

人気記事