Tik Tok
La compañía asegura que la información obtenida por el supuesto hacker es de carácter público. | Foto: Anadolu Agency via Getty Images

Redes Sociales

TikTok niega robo de datos de millones de usuarios

Un usuario de Twitter afirmó haber vulnerado la seguridad de TikTok.

6 de septiembre de 2022

En la mañana de este martes 6 de septiembre, TikTok negó la supuesta brecha de seguridad por la que un hacker habría accedido a los registros de las cuentas de miles de millones de sus usuarios y al código fuente interno de la plataforma de video.

El pasado 3 de septiembre, el usuario AgainstTheWest del foro de ‘hackers’ Breach Forums afirmó tener en su poder datos obtenidos de TikTok y WeChat, la ‘app’ desarrollada por Tencent, a raíz de una brecha de seguridad.

Como pruebas, acompañó su publicación de unas capturas de pantalla y un video que alertaban sobre la presunta filtración de datos de ambas plataformas. En el caso de TikTok, el usuario afirmó tener más de 2.000 millones de registros de usuarios, incluida información de pago, que alcanzaban los 790 GB, aunque posteriormente indicó que el archivo ocupaba en total 6,7 TB.

Posteriormente, el usuario BlueHornet|AgainstTheWest afirmó en Twitter que tenía el código fuente de TikTok, mofándose de que la plataforma lo había alojado en el servicio en la nube Alibaba Cloud y protegido con una “contraseña inútil”, según recoge Forbes.

Dada esta situación, el consultor de seguridad de la red social, Troy Hunt, se hizo eco de estas alegaciones y analizó una muestra de 237 MB que el presunto atacante publicó para comprobar su veracidad, como detalló a través de su cuenta personal de Twitter.

Por un lado, halló material que sí era legítimo y coincidía con los registros de TikTok, como videos publicados por usuarios en la plataforma. Sin embargo, se trataban de datos “públicamente accesibles” que no tienen por qué indicar la existencia de una brecha de seguridad.

Por otro, calificó los datos referentes a la información de pago de los usuarios “un poco inconclusos” e incluso directamente “falsos” en algunos casos. En definitiva, su análisis arrojó un resultado “inconcluyente” sobre la veracidad de la filtración.

Por su parte, la plataforma propiedad de ByteDance ha desmentido ser víctima de un ciberataque en declaraciones de uno de sus portavoces a Bloomberg. Concretamente, el equipo de seguridad de TikTok ha investigado el asunto y determinado que el código presuntamente robado “no está relacionado” con el de la red social.

Asimismo, un usuario del foro de ‘hackers’ volvió a subir la publicación de los presuntos datos robados tras ser eliminada por considerar que su autor habíaa mentido. Además, Twitter procedió a suspender la cuenta de AgainstTheWest tras sus alegaciones, que sigue sin estar accesible.

TikTok permitía que ciberdelincuentes accedieran a algunas cuentas

La compañía Microsoft descubrió una vulnerabilidad en la versión para Android de la aplicación TikTok, un fallo que pudo haber dado acceso a los ciberdelincuentes al sistema y así comprometer y secuestrar las cuentas de los usuarios.

La compañía de Redmond explicó en su blog que comunicó este error de seguridad a TikTok en febrero y que la plataforma “respondió rápidamente” lanzando una solución para abordar la vulnerabilidad informada.

Asimismo, ha subrayado que no tiene registro de que nadie se haya aprovechado de esta vulnerabilidad para cometer ataques contra los usuarios de TikTok y que la haya explotado a su favor.

En primer lugar, la compañía tecnológica ha recordado que TikTok dispone de dos versiones de la aplicación, una para el este y sudeste de Asia y otra para el resto de países. Al realizar una evaluación de vulnerabilidades, comprobó que el problema afectaba a ambas versiones.

Concretamente, este error, que fue registrado con la denominación CVE-2022-28799, permitía a los atacantes omitir la verificación de enlace profundo (‘deeplink’) de la aplicación de contenido.

Gracias a esto, los ciberdelincuentes podrían haber forzado a la red social a cargar una URL en el componente WebView de la aplicación, para poder así visualizar páginas web internas.

Microsoft ha subrayado que, como WebView está vinculado a los puentes de JavaScript, esto habría otorgado a los actores maliciosos hasta 70 formas distintas de acceder a la información de sus posibles víctimas.

La falla les permitía, incluso, recuperar los tokens de autentificación del usuario a través de una solicitud a un servidor controlado y, posteriormente, registrando las ‘cookies’ de rastreo de información.

Para determinar la gravedad de la vulnerabilidad, los investigadores de Microsoft probaron a enviar un enlace malicioso a un agente externo. Una vez hecho clic en esta URL, el link otorgaba estos tokens de los servidores que la plataforma TikTok pide a sus usuarios para verificar su identidad y acceder a sus correspondientes perfiles.

El grupo ha señalado que cualquier atacante pudo apoyarse en esta vulnerabilidad de la ‘app’ para secuestrar una cuenta sin el conocimiento de su usuario, únicamente invitándole a clicar en uno de estos enlaces maliciosos.

*Con información de Europa Press.