Hacker afirma haber expuesto a más de mil millones de usuarios de TikTok

Un supuesto hackeo de TikTok podría haber expuesto los datos de más de mil millones de usuarios, según advierten los investigadores de ciberseguridad.

Los reportes de una filtración de datos surgieron por primera vez en un popular foro de hackeo durante el fin de semana, con hackers que afirmaban haber explotado un servidor inseguro que contenía información personal de los usuarios de TikTok.

Las afirmaciones coincidieron con una alerta de seguridad de Microsoft que advertía sobre una “vulnerabilidad de alta seguridad” en la aplicación de TikTok para Android, que podría haber permitido a los atacantes “poner en peligro las cuentas de los usuarios con un solo clic”.

Los presuntos hackers aseguran tener acceso a unos 34GB de datos de los usuarios de TikTok.

“Tenemos que decidir si queremos venderlo o liberarlo al público”, escribió un usuario llamado AgainstTheWest en un foro de mensajes de Breach Forums.

“Se han extraído unos 1.370 millones de entradas... Las entradas son de todo el mundo... Estos datos contienen mucha gente menor de edad”.

El investigador de seguridad Troy Hunt, que gestiona el servicio de filtración de datos Have I Been Pwned, utilizado por decenas de gobiernos nacionales, analizó una muestra de 237 MB de los archivos incluidos en el foro de hackeo.

Hunt no pudo verificar la legitimidad del hackeo a partir de la muestra, alegando que los datos ya estaban disponibles públicamente.

“Hasta ahora, esto no es concluyente”, tuiteó el lunes. “Algunos datos coinciden con la información de producción, aunque de acceso público. Algunos datos son basura, pero podrían ser datos de no producción o de prueba. Hasta ahora es una mezcla de datos”.

Un portavoz de TikTok negó que se hubiera producido alguna intrusión y añadió que la vulnerabilidad identificada por Microsoft “no tiene ninguna relación” con el código fuente del backend de TikTok.

“TikTok prioriza la privacidad y la seguridad de los datos de nuestros usuarios”, declaró un portavoz a The Independent. “Nuestro equipo de seguridad investigó estas afirmaciones y no encontró ninguna evidencia de una brecha de seguridad”.

TikTok es el sitio web más visitado del mundo, según la firma de seguridad Cloudflare, tras haber superado a Google en 2021.

Su empresa matriz con sede en China, ByteDance, fue criticada en el pasado por compartir detalles sobre sus algoritmos con el gobierno chino, mientras que también se han planteado preocupaciones de seguridad sobre la participación del Estado.

Una demanda de 2019 afirmaba que TikTok había “aspirado y transferido de forma clandestina a servidores en China grandes cantidades de datos privados y de identificación personal de los usuarios que pueden ser empleados para identificar, perfilar y rastrear la ubicación y las actividades de los usuarios en Estados Unidos ahora y en el futuro”, una acusación que ByteDance niega.

La aplicación ya está prohibida por el Ejército y la Marina de EE.UU. por motivos de seguridad.

“Hace tiempo que se ha puesto en entredicho la forma en que TikTok gestiona su propia seguridad y la forma en que cuida la privacidad de sus usuarios, lo que naturalmente atrae la atención de los grupos criminales, así como de los actores de los estados-nación”, explicó Jake Moore, asesor de ciberseguridad de la empresa de software ESET.

“Ya sea que esto resulte ser datos en verdad privados que causan que cada cuenta sea potencialmente vulnerable o solo información abierta del sitio, los usuarios deben asegurarse de tener activadas las alertas de seguridad dentro de la app y la autenticación de dos factores activada, así como asegurarse de que su contraseña utilizada en la cuenta sea exclusiva de cualquier otra cuenta”.