เมื่อวันศุกร์ที่ผ่านมา คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ (DPC) ได้สั่งปรับ TikTok เป็นเงินจำนวน 530 ล้านยูโร (601 ล้านดอลลาร์) เนื่องจากการละเมิดข้อบังคับการคุ้มครองข้อมูลในภูมิภาคโดยการโอนข้อมูลของผู้ใช้ในยุโรปไปยังประเทศจีน (more…)

กลุ่มผู้สนับสนุนด้าน Privacy ที่ไม่แสวงหาผลกำไร "None of Your Business" (noyb) ยื่นฟ้อง TikTok, AliExpress, SHEIN, Temu, WeChat และ Xiaomi สำหรับการถ่ายโอนข้อมูลผู้ใช้งานในยุโรปไปยังประเทศจีนอย่างผิดกฎหมาย และละเมิดกฎระเบียบการปกป้องข้อมูลทั่วไปของสหภาพยุโรป (GDPR) (more…)

เมื่อวันศุกร์ที่ผ่านมา (2 กันยายน 2565) กลุ่มแฮ็กเกอร์ที่ใช้ชื่อว่า ‘AgainstTheWest’ ได้อ้างว่าทำการขโมยข้อมูลของทั้ง TikTok และ WeChat มาจาก Cloud instance ของ Alibaba โดยมีข้อมูลผู้ใช้งานของทั้ง 2 แพลตฟอร์ม อยู่กว่า 2.05 พันล้านรายการในฐานข้อมูลขนาด 790 GB ประกอบไปด้วย ข้อมูลของผู้ใช้, สถิติการใช้งานของแพลตฟอร์ม, source code ** ของ Software, auth tokens, ข้อมูลของเซิร์ฟเวอร์ และอื่น ๆ อีกมากมาย

แม้ว่าชื่อ ‘AgainstTheWest’ จะดูเหมือนเป็นกลุ่มแฮ็กเกอร์ที่มุ่งเป้าโจมตีไปยังประเทศแถบตะวันตก แต่เป้าหมายจริง ๆ ของทางกลุ่มกลับเป็นประเทศที่เป็นภัยคุกคามต่อประเทศทางฝั่งตะวันตกมากกว่า โดยกลุ่มดังกล่าวจะมุ่งเป้าโจมตีไปที่จีน และรัสเซีย อีกทั้งยังมีแผนที่จะเพิ่มเป้าหมายไปยังเกาหลีเหนือ เบลารุส และอิหร่านในอนาคต

หลังจากนั้น TikTok ได้ออกมาปฏิเสธข่าวการรั่วไหลของ Source Code และข้อมูลผู้ใช้งานที่แฮ็กเกอร์อ้างว่าได้ขโมยไปจากบริษัท ซึ่งทาง TikTok ให้ข้อมูลกับ BleepingComputer ว่าข้อมูลนั้นไม่มีความเกี่ยวข้องกับทางบริษัท และข้อมูล Source Code ที่แชร์อยู่บนแพลตฟอร์มข้อมูลรั่วไหลก็ไม่ได้เป็นส่วนหนึ่งของ TikTok ซึ่ง TikTok ยืนยันว่ามีการป้องกันระบบที่เพียงพอ และมีการป้องกันการใช้สคริปต์สำหรับการเก็บรวบรวมข้อมูลของผู้ใช้งาน

แม้ว่า WeChat และ TikTok เป็นบริษัทจากประเทศจีนเหมือนกัน แต่ก็ไม่ได้อยู่ภายใต้บริษัทแม่บริษัทเดียวกัน โดย WeChat นั้นเป็นของ Tencent ส่วน TikTok เป็นของ ByteDance ดังนั้นหากมีข้อมูลรั่วไหลของทั้งสองบริษัทจากฐานข้อมูลเดียวกัน จึงมีความเป็นไปได้ว่าไม่ใช่การรั่วไหลจากแพลตฟอร์มโดยตรง ซึ่งอาจเป็นไปได้ว่าฐานข้อมูลที่เผยแพร่ออกมานั้นมาจากบุคคลที่ 3 หรือโบรกเกอร์ที่มีการคัดลอกข้อมูลจากทั้งสองแพลตฟอร์มลงไปในฐานข้อมูลเดียวกัน

อีกทั้ง Troy Hunt ผู้สร้าง HaveIBeenPwned และ Bob Diachenko, Database hunter ได้ให้ความเห็นใกล้เคียงกันว่าข้อมูลผู้ใช้งานนั้นเป็นของจริง แต่ไม่พบหลักฐานที่พิสูจน์ได้ว่าได้มาจาก TikTok ซึ่งไม่สามารถสรุปที่มาของข้อมูลให้เป็นรูปธรรมได้

หากมีการวิเคราะห์เพิ่มเติม และพบว่าข้อมูลทั้งหมดนั้นถูกต้อง TikTok จะถูกบังคับให้ดำเนินการลดผลกระทบของการรั่วไหลของข้อมูล ถึงแม้ว่าเหตุการณ์ข้อมูลรั่วไหลจะไม่ได้เกิดจาก TikTok เองก็ตาม

ที่มา : bleepingcomputer

ตามรายงานจาก The Wall Street Journal ที่ได้ทำการตรวจสอบ TikTok พบว่า TikTok ใช้ช่องโหว่บางอย่างเพื่อหลีกเลี่ยงการปกป้องความเป็นส่วนตัวใน Android และเพื่อรวบรวมที่จะสามารถระบุตัวตนที่ไม่ซ้ำกันได้จากอุปกรณ์มือถือหลายล้านเครื่อง ซึ่งเป็นข้อมูลที่จะช่วยให้แอปพลิเคชันติดตามผู้ใช้ทางออนไลน์โดยไม่ได้รับอนุญาต

The Wall Street Journal กล่าวว่า TikTok ใช้ช่องโหว่ในการรวบรวม MAC addresses เป็นเวลาอย่างน้อย 15 เดือนและการรวบรวมข้อมูลถูกหยุดลงในเดือนพฤศจิกายน 2020 หลังจากบริษัท ByteDance ตกอยู่ภายใต้การตรวจสอบอย่างเข้มงวดในกรุงวอชิงตันดีซี โดย MAC addresses ถือเป็นข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ภายใต้ COPA (Children's Online Privacy Protection Act) ซึ่งเป็นตัวระบุเฉพาะที่พบในอุปกรณ์สื่อสารที่เปิดใช้งานอินเทอร์เน็ตทั้งหมดรวมถึงอุปกรณ์ที่ใช้ระบบ Android และ iOS ซึ่งข้อมูล MAC addresses สามารถใช้เพื่อกำหนดเป้าหมายในการโฆษณาไปยังผู้ใช้ที่เฉพาะเจาะจงหรือติดตามบุคคลที่ใช้งานได้

TikTok ได้ออกมาโต้แย้งต่อการค้นพบของ The Wall Street Journal โดยกล่าวว่า TikTok เวอร์ชันปัจจุบันไม่ได้รวบรวม MAC addresses แต่จากการตรวจสอบพบว่าบริษัทได้รวบรวมข้อมูลดังกล่าวมาหลายเดือนแล้ว

ทั้งนี้ iOS ของ Apple จะบล็อก third party ไม่ให้อ่าน MAC addresses ซึ่งเป็นส่วนหนึ่งของคุณสมบัติความเป็นส่วนตัวที่เพิ่มเข้ามาในปี 2013 แต่บน Android การใช้ช่องโหว่เพื่อรวบรวมข้อมูล MAC addresses ยังคงอยู่และสามารถใช้ประโยชน์จากช่องโหว่ได้ ถึงแม้ว่าการตรวจสอบจะพบว่า TikTok ไม่ได้รวบรวมข้อมูลจำนวนมากผิดปกติและโดยทั่วไปแล้วจะแจ้งล่วงหน้าเกี่ยวกับการรวบรวมข้อมูลผู้ใช้แต่ WSJ พบว่าบริษัทแม่ ByteDance ยังดำเนินการรวบรวมข้อมูลจากผู้ใช้อยู่

ที่มา: securityweek

TikTok ได้ประกาศเข้าร่วมโครงการ bug bounty ร่วมกับแพลตฟอร์ม HackerOne เพื่อเปิดโอกาสให้แฮ็กเกอร์และนักวิจัยด้านความปลอดภัยสามารถทำการให้ค้นหาช่องโหว่ในเว็บไซต์หลักซึ่งรวมถึงโดเมนย่อยต่างๆ และแอปพลิเคชันบน Android และ iOS

โดยช่องโหว่และข้อบกพร่องที่มีความรุนแรงสูง TikTok จะจ่ายให้กับผู้ค้นพบเป็นเงินรางวัลตั้งเเต่ 1,700 ถึง 6,900 ดอลลาร์(ประมาณ 53,074 ถึง 215,418 บาท) ทั้งนี้ช่องโหว่ที่มีความสำคัญและมีความรุนเเรงสูงผู้ค้นพบจะสามารถได้รับรางวัลสูงถึง 14,800 ดอลลาร์ (ประมาณ 461,959 บาท) ซึ่งจะพิจารณาจากคะแนนความรุนเเรง CVSS ของช่องโหว่

Luna Wu จากทีม TikTok Global Security ได้กล่าวว่าความร่วมมือในการหาช่องโหว่และข้อบกพร่องครั้งนี้จะช่วยให้ TikTok ได้รับข้อมูลเชิงลึกจากนักวิจัยด้านความปลอดภัยชั้นนำของโลก, นักวิชาการและผู้เชี่ยวชาญอิสระเพื่อเปิดเผยภัยคุกคามและช่องโหว่ที่อาจเกิดขึ้นได้ในแอปพลิเคชัน ซึ่งจะทำให้การป้องกันความปลอดภัยของ TikTok แข็งแกร่งยิ่งขึ้น

ที่มา: securityweek.