Годам раней брытанскія спецслужбы папярэджвалі кампанію аб уразлівасці праграмы. Аднак іх ліст праігнаравалі. Журналісты Forbes паспрабавалі высветліць, ці звязаныя ўзломы з Эрдаганам, які перамог на выбарах.
Годам раней брытанскія спецслужбы папярэджвалі кампанію аб уразлівасці праграмы. Аднак іх ліст праігнаравалі. Журналісты Forbes паспрабавалі высветліць, ці звязаныя ўзломы з Эрдаганам, які перамог на выбарах.
Паводле даных выдання, яшчэ да майскіх выбараў у Турцыі в. а. начальніка службы бяспекі TikTok Кім Альбарэла атрымала інфармацыю, што каля 700 тысяч уліковых запісаў у краіне былі скампраметаваныя ўзломам. Гэта дазволіла зламыснікам атрымаць доступ да асабістай інфармацыі карыстальнікаў і кіраваць іх уліковымі запісамі. Унутраная перапіска ды іншыя крыніцы ў кампаніі паказваюць, што кіраўніцтва ведала пра ўразлівасць, якая ўзнікла праз так званую «шэрую маршрутызацыю» SMS-паведамленняў.
Раней у красавіку 2022 года начальнік службы бяспекі TikTok Роланд Клацье атрымаў электронны ліст з Нацыянальнага цэнтра кібербяспекі Вялікабрытаніі — падраздзялення разведвальнага ўпраўлення GCHQ. У лісце ведамства папярэджвала, што гэтая практыка ўразлівая для «SIM-ферм» з Расіі ды іншых краін, якія могуць запытваць і перахопліваць аднаразовыя паролі для доступу да акаўнтаў карыстальнікаў сацсеткі. Аднак у кампаніі не надалі значэння гэтаму папярэджанню.
Клацье неўзабаве звольнілі з іншай нагоды: улады ЗША падазравалі, што супрацоўнікі TikTok з іншых краін маюць доступ да персанальных звестак амерыканскіх карыстальнікаў — і філіял сацсеткі ў ЗША не мае надзейных сродкаў кантролю кібербяспекі. Каб не абвастраць абстаноўкі, Клацье перайшоў на нязначную пасаду кансультанта «ў пытаннях уплыву праграм бяспекі на бізнэс кампаніі». Замест яго выконваючай абавязкі прызначылі Альбарэлу. Гендырэктар TikTok Шоу Зі Чу паабяцаў, што для кіравання данымі ў ЗША кампанія створыць асобную структуру.
Шэрая маршрутызацыя азначае адпраўку SMS-паведамленняў па неабароненых каналах з мэтай абыходу збораў, вызначаных міжнароднымі тэлекамунікацыйнымі пагадненнямі. Такія абыходныя маршруты дазваляюць кампаніям зэканоміць грошы і пазбегнуць абмежаванняў, якія накладваюць краіны: напрыклад, хуткасці або для прадухілення спаму. Тым не менш такая практыка не абараняе паведамленні ад перахопу, чым карыстаюцца зламыснікі.
Клацье і яго каманда правялі ўнутранае расследаванне і высветлілі, што ByteDance — мацярынская кампанія TikTok — сапраўды выкарыстоўвае такія схемы для зніжэння выдаткаў. Паўстала пытанне змены пастаўшчыкоў SMS-паведамленняў, але гэтага не сталі рабіць, паколькі гэта абышлося б кампаніі ў мільёны долараў штомесяц.
Немагчыма дэталёва ацаніць, наколькі сур’ёзным быў узлом акаўнтаў у Турцыі. На думку Алекса Стамаса, дырэктара Стэнфардскай інтэрнэт-абсерваторыі і былога кіраўніка службы бяспекі Facebook, гаворка можа ісці пра звышмасштабную спам-атаку, за якой могуць стаяць мясцовыя спецслужбы. Аднак Стамас адзначыў, што атакі з перахопам SMS больш мэтанакіраваныя, чым выпадковыя ўзломы, і «аўтарытарныя дзяржавы амаль заўсёды кантралююць тэлекамунікацыйныя кампаніі» ў краіне.
Падзея стала найбуйнейшым вядомым узломам уліковых запісаў TikTok, які прызнае сама кампанія. Папярэднюю інфармацыю пра ўцечку ў верасні 2022 года 790 Гбайт даных карыстальнікаў сацсетка абвергла. Прадстаўнік TikTok Алекс Хаўрэк заявіў, што кампаніі вядома пра незвычайную актыўнасць у красавіку, якая закранула лайкі і ўліковыя запісы. «Мы неадкладна распачалі крокі па скасаванні і спыненні гэтай дзейнасці, апавясцілі пацярпелых карыстальнікаў і дапамаглі ім абараніць свае ўліковыя запісы», — дадаў ён.
Сацсетка настойвае, што платформа не была ўзламаная і ніводная з унутраных сістэм не была скампраметаваная. «Калі TikTok стала вядома пра гэты інцыдэнт, мы неадкладна ўзмацнілі маніторынг, адначасова працуючы над ліквідацыяй праблемы, якая была развязаная», — растлумачыў Хаўрэк. Аднак такая вялікая прабоіна ў сістэме бяспекі адной з самых папулярных сацсетак у свеце не можа застацца незаўважанай. Гэта толькі дадае пытанняў да забеспячэння бяспекі даных у TikTok.
Раней Forbes паведаміў, што кампанія захоўвала канфідэнцыйную фінансавую інфармацыю тысяч амерыканскіх пастаўшчыкоў у Кітаі, нягледзячы на заявы гендырэктара TikTok Шоу Зі Чу. Той падчас слуханняў у Кангрэсе ЗША сцвярджаў, што «амерыканскія даныя заўсёды захоўваліся ў Вірджыніі і Сінгапуры». Падставай для слуханняў стала расследаванне дзейнасці TikTok па падазрэнні ў сачэнні за журналістамі.
Нявызначаным застаецца заказчык узлому акаўнтаў. Турэцкія ўлады выкарыстоўваюць сеткі троляў, якія фінансуюцца дзяржавай. Таксама перад майскімі выбарамі сацсеткі пазапаўнялі дыпфэйкі і дэзынфармацыя як праўладных карыстальнікаў, так і апазіцыйных. Аднак прадстаўнік TikTok Алекс Хаўрэк сцвярджае, што ўнутранае расследаванне не знайшло доказаў сувязі ўзломаў з выбарамі ў Турцыі.
На пачатку ліпеня сацсетка паведаміла, што праграма ўводзіць ключы доступу — спосаб для карыстальнікаў уваходзіць у свае ўліковыя запісы без выкарыстання SMS-паведамленняў. Таксама TikTok далучыўся да асацыяцыі Fido Alliance, якая распрацоўвае і прасоўвае стандарты аўтэнтыфікацыі. На пытанне аб выкарыстанні шэрай маршрутызацыі Алекс Хаўрэк адказаў, што кампанія не раскрывае сваіх тэлекамунікацыйных партнёраў.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.