TikTok未修漏洞节省数千万美元,一年后在海外大选期间遭利用
安全内参7月26日消息,土耳其总统埃尔多安险胜连任的几周前,TikTok代理安全主管Kim Albarella收到一条坏消息:多达70万个土耳其TikTok账户遭到黑客攻击,攻击者能够访问用户个人信息并控制他们的账户。
根据TikTok内部电子邮件、聊天记录、文件,以及其他内部、外部信息,该公司早在一年前就知道这个漏洞。该漏洞源于所谓的“灰色路由”, 即通过不安全的渠道发送短信。
2022年4月,TikTok安全主管Roland Cloutier收到英国国家网络安全中心——英国情报机构“政府通信总部”(GCHQ)下属部门发来的电子邮件。邮件警告,如使用灰色路由,俄罗斯等其他国家的“SIM卡农场”可能会请求和拦截一次性密码,获取TikTok用户账户的访问权限。
通俗来讲,灰色路由就是通过不安全的渠道发送短信,从而绕过国际电信协议规定的费用。使用灰色路由可以节约公司成本,避开速率限制和反垃圾邮件检测。但是,这样做可能会危及信息安全,使信息易受拦截。
迄今规模最大的
TikTok账户被攻击事件
Roland Cloutier团队对GCHQ提供的信息展开内部调查,发现TikTok确实在使用灰色路由来降低成本。调查结束后,TikTok公司一开始考虑更换短信服务提供商。但是,该公司最终决定不予更换,原因显而易见——如修复灰色路由问题,公司每月将损失数百万美元。
美国斯坦福大学网络观察室主任、前Facebook安全主管Alex Stamos警告说,因为没有更多信息,很难判断此次TikTok数据泄露有多严重。他表示:“这可能是一次高级垃圾邮件攻击,也可能是国家行为者发动的攻击。如果只是70万个账户被黑,我会说那不过一个普通的星期三。”但是,他也指出,短信劫持攻击通常比随机接管攻击更有针对性,“威权主义国家一般都会控制电信公司。”
TikTok公司承认,这次利用漏洞的黑客攻击是迄今为止规模最大的TikTok账户被攻击事件。(TikTok否认了2022年9月ATW组织声称泄露数据的传闻。)
TikTok发言人Alex Haurek撰写电子邮件,回应对这次攻击的详细询问:“TikTok在4月意识到,一些异常活动影响了部分用户账户的点赞和关注数量。我们立即采取措施遏制并终止这些活动,并通知了受影响的用户,帮助他们保护了自己的账户。TikTok没有被‘黑’。我们的内部系统没有受到破坏,也没有公司数据被窃取。TikTok发现数据泄露后,立即对不真实行为加强监控,努力化解问题。目前问题已得到解决。TikTok没有发现任何未经授权的内容被发布或用于私信。”
权力即责任!
TikTok面临高安全要求
最近几个月,TikTok及母公司字节跳动一直面临着美国严厉的数据安全审查。
今年4月,福布斯爆料称,TikTok首席执行官周受资在最近的听证会上表示“TikTok美国数据一直存储在弗吉尼亚州和新加坡”,然而并非如此。同时,字节跳动正接受美国联邦刑事调查,原因是他们利用TikTok应用对新闻工作者进行监视。
目前尚不清楚是谁利用了前述漏洞。在埃尔多安的领导下,土耳其政府经常利用国家支持的网络攻击团队,对新闻工作者和其他批评人士实施攻击和恐吓。5月大选前,埃尔多安依靠深度伪造技术和审查手段吸引选民。他在选举中的主要对手Kemal Kilicdaroglu还指责俄罗斯政府在选举前几天散布虚假信息。
TikTok发言人Alex Haurek表示,TikTok内部调查并未发现这一活动与土耳其选举有关。
TikTok 是世界上最受欢迎的应用之一。这次安全漏洞凸显了该公司拥有的力量和应承担的责任。与科技巨头Meta(Facebook)、推特和谷歌一样,TikTok无穷无尽的个性化推送有能力影响市场、改变文化、左右选举结果。这种力量令人担忧TikTok公司与其他政府的关联。同时,拥有数十亿用户的TikTok应用也成为黑客、机器人军团、网络骗子等网络犯罪分子的主要目标。
TikTok或将成为
下一个政治讨论场所
信息利用风险在存在人权侵犯记录的国家,以及重要选举之前会加剧。
TikTok一直强调,政治在其平台上属于次要地位。这是为了突出他们与Facebook的区别。
Facebook曾鼓励政治家利用他们的平台传播理念。TikTok游说人员告诉政客和记者,TikTok“不是政治活动的首选场所”,同时又保证,TikTok平台上的政治言论不会被审查。
但是,随着推特逐渐右倾,Meta对政治内容的态度发生180度转变,TikTok可能自然而然地成为下一个政治讨论场所。
近日,TikTok发布了一篇博文,宣布其应用正在引入通行密钥,让用户无需使用短信验证码即可登录账户,并加入了FIDO联盟这一安全验证标准组织。FIDO 联盟的一条推文显示,TikTok于4月加入了该组织,而新的通行密钥功能在6月末推出。
当被问及 TikTok 或字节跳动的短信供应商现在是否仍在使用灰色路由时,Haurek表示:“像许多跨国公司一样,我们在电信领域拥有多个合作伙伴,虽然我们没有按地理位置披露这些合作伙伴,但我们不断努力保持我们的社区是安全的。”
