Hacker Newsフォーラムのスレッドでは、このデータはTikTok自体からではなく、マーケティングやeコマース目的でTikTokと統合しているサードパーティからきたもののように思えるという指摘がなされている。しかし、そもそもサードパーティがこの種のデータにアクセスできるのかどうか、ましてや実際に侵害されたかどうかは、現時点では明らかではない。
流出したサンプル内のサードパーティデータが「漏洩」元を探る手がかりに
TikTokの広報担当者から、次のような最新の声明が提供された。TikTokのデータ漏洩が、実はサードパーティのデータベース侵害だったという疑いは、これでほぼ確定したようなものだ。
「当社のセキュリティチームは、セキュリティ侵害の証拠を発見していません。問題のデータサンプルはすべて一般に公開されており、TikTokのシステム、ネットワーク、データベースが侵害されたものではないことが確認されました。また、サンプルにはTikTokとは関係のない1つまたは複数のサードパーティーのソースからのデータが含まれているようです。私たちは、ユーザーが積極的に行動する必要はないと考えており、グローバルコミュニティの安全性とセキュリティに引き続き取り組んでいきます」
データ漏洩の専門家からは「AgainstTheWest」が共有したサンプルはスクレイピングされたデータで構成されているという指摘がすでに出ていた。つまり、一般に公開されているデータを、多くの場合、自動処理(ボット)によって収集し、マーケティングや電子商取引用にデータベース化したものだった。新しいTikTokの声明は、このことを裏づけている。このようなスクレイピングされたデータベースには、さまざまなソースからのデータが含まれることは確かに珍しくなく、それは声明の中でサードパーティデータについて言及されていることでも確認できる。
しかし、このデータスクレイピングの指摘は、それほど単純なものではない。Bleeping Computerのレポートによると、TikTokの広報担当者は、TikTokが「自動スクリプトによるユーザー情報の収集を防止する適切なセキュリティ保護手段」があるため、流出したデータはプラットフォームの「直接スクレイピング」によるものではありえないと語っているとのことだ。
