Un fallo de seguridad de TikTok expone los datos personales de usuarios
TikTok tiene que mejorar su seguridad interna si quiere ganarse la confianza de los reguladores de países e instituciones occidentales.
8 enero, 2020 13:24Noticias relacionadas
Ninguna red social ha estado exenta de su particular escándalo de datos personales. TikTok no iba a ser menos y, tras alcanzar un éxito mundial considerable, algunas empresas especialistas en seguridad han puesto la lupa en la app china.
Lo cierto es que ya acumula algún que otro escándalo, pero no ha afectado para nada al importante crecimiento que está experimentando en los últimos meses. El último de ellos ha sido demostrado por la compañía israelí Check Point y que recoge The New York Times.
TikTok, tras la escalada de tensión comercial de EEUU y China, ha estado en el objetivo de varios departamentos de la administración estadounidense. El resto de las grandes redes sociales están basadas en el país norteamericano donde los estándares de seguridad presumen de ser más duros.
El enésimo agujero de seguridad de TikTok
Los hackers podrían haber explotado un agujero de seguridad que permitía a los atacantes enviar mensajes internos dentro de TiKTok conteniendo enlaces maliciosos. Si el usuario pinchaba sobre él, los hackers podían tener acceso directo al perfil de la víctima.
Una vez controlada la cuenta en TikTok, quedarían descubiertos a ojos de los atacantes todos los vídeos privados que el usuario había subido a la red. Además, acceso a todos los mensajes que se ha podido cruzar con otros usuarios y de información personal vinculada al propio perfil de la cuenta.
La vulnerabilidad no habría sido explotada por ningún hacker malicioso o al menos la red social no tendría constancia de ello, según las declaraciones del jefe de seguridad de TikTok. Pero los enanos no le paran de crecer a ByteDance, matriz de Tiktok, no le terminan de crecer los enanos.
En concreto, la compañía ha explicado a través de Luke Deshotels, responsable del equipo de seguridad de TikTok indica que "se compromete a proteger los datos de los usuarios. Al igual que muchas organizaciones, animamos a los investigadores de seguridad a que nos revelen de manera privada las vulnerabilidades de día cero. Antes de la divulgación pública, CheckPoint estuvo de acuerdo en que todos los problemas reportados fueron parcheados en la última versión de nuestra aplicación. Esperamos que esta resolución exitosa favorecerá la futura colaboración con investigadores de seguridad".
Otra vulnerabilidad es que la página web de TikTok permitía un tipo de ataque basado en la inyección de código malicioso en otras páginas webs de confianza. Permitiendo a los atacantes el acceso a datos personales sensibles como los nombres y las fechas de nacimiento.
En el punto de mira de Trump
Check Point envió la información de vulnerabilidad el pasado mes de noviembre. Y, según TikTok, la actualización enviada el día 15 de diciembre arreglaba todos los fallos de seguridad. Pero no es suficiente para Trump.
Algunas instancias militares de Estados Unidos prohíben directamente la instalación de TikTok en los smartphones de sus empleados. También el Comité de Inversión Extranjera (Committee on Foreing Investment) tiene la lupa puesta en la fusión con Musical.ly en 2017 y en la recogida de datos ilegal a menores.
Para cerrar el caso TikTok acordó pagar la cuantiosa cantidad de 5.7 millones de dólares y aseguró que cumpliría con todos los preceptos de la famosa ley COPPA (Children's Online Privacy Protection Act). Esta regulación fue probada por Estados Unidos y acaba de comenzar su aplicación en enero de 2020.
Otra de las instituciones que se han fijado en TikTok es la Oficina del Comisionado de Información británico. Tiene como fin determinar si la app cumple con las normativas de privacidad europea para la protección de los menores y sus datos.