Nato come mezzo per generare risate attraverso brevi video clip durante la pandemia di coronavirus, TikTok ha preso il formato video breve che cattura l'attenzione e ha consolidato il suo posto tra le app di social media più popolari. Ma proprio come altre app di proprietà straniera che diventano virali, TikTok, di proprietà cinese, continua a subire controlli sulle sue pratiche di raccolta dati e privacy. Questa volta, però, non sono solo gli Stati Uniti a suonare il campanello d'allarme.
Citando una minaccia alla "sovranità e all'integrità", l'Australia si unisce a una manciata di governi globali, tra cui l'India, il Regno Unito, gli Stati Uniti, il Canada e molti Paesi in Europa, che chiedono la rimozione dell'app TikTok dai telefoni cellulari di tutti i funzionari. I governi stanno iniziando a prendere più seriamente i rischi di TikTok, ma, con oltre 1 miliardo di utenti attivi mensili, le aziende e le organizzazioni non governative stanno facendo lo stesso?
Secondo il Center for Internet Security, "i dati che TikTok raccoglie dagli utenti contengono informazioni sensibili e spesso vengono acquisiti senza che l'utente ne sia esplicitamente consapevole". Questi dati includono, ma non si limitano a, "marca e modello del dispositivo, versione del Sistema Operativo (OS), operatore di telefonia mobile, cronologia di navigazione, nomi e tipi di app e file, modelli o ritmi di battitura, connessioni wireless, geolocalizzazione". TikTok arriva persino a raccogliere altre informazioni di identificazione personale (PII) come l'età, l'immagine, i contatti personali e altri dati raccolti attraverso la sua funzionalità integrata di single sign-on (SSO).
Considerando che l'applicazione può raccogliere "il contenuto dei [messaggi] e le informazioni sul momento in cui [i messaggi] vengono inviati, ricevuti e/o letti" e, in particolare, con la recente audizione del CEO di TikTok al Congresso che ha aggiunto ulteriore sostanza al dialogo generale, è facile capire perché le grandi organizzazioni e le aziende di tutto il mondo sono sempre più diffidenti nei confronti di TikTok ed esprimono preoccupazione per la protezione dei dati personali e aziendali che raccoglie.
Perché si verificano queste violazioni?
Mentre i social media hanno sempre posto vari rischi di sicurezza, tra cui la vulnerabilità al phishing e alle frodi, un punto primario di preoccupazione per i governi, le imprese e altre grandi organizzazioni è la confusione dei confini tra l'uso personale e aziendale dei dispositivi su cui TikTok è installato e consumato.
Inoltre, il potenziale di abuso dei dati da parte di soggetti esterni e interni è una preoccupazione significativa. Ciò è dovuto all'intreccio di piattaforme e servizi online, con token di autenticazione condivisi, integrazioni single sign-on, portabilità dei dati e altro ancora. Le ramificazioni di un potenziale furto e abuso di dati potrebbero essere gravi, soprattutto in considerazione dell'uso diffuso di servizi web e cloud.
La domanda è: quante organizzazioni si preoccupano delle minacce alla sicurezza tanto da sostenere un divieto di TikTok, e quante invece sono del tutto inconsapevoli dei rischi che corrono.
Come per qualsiasi minaccia web, cloud o mobile, è fondamentale che i team di sicurezza imparino e comprendano i principali fattori di rischio. Come gestisce i dati TikTok? Come identifica e autentica gli utenti e i dispositivi in modo sicuro? Che tipo di traffico e di contenuti possono essere condivisi e consumati? Dove sono i punti di presenza del servizio e cosa significa per la propensione al rischio di un'organizzazione?
Con il vasto numero di utenti, dispositivi, sedi, requisiti aziendali e altro ancora, a volte è difficile adottare approcci pesanti, bloccando esplicitamente l'accesso a determinati servizi durante la notte. È molto importante educare gli utenti e introdurre barriere di sicurezza nei casi in cui un'organizzazione non voglia bloccare bruscamente i servizi in un colpo solo.
Skyhigh Security affronta questo problema dettagliando numerosi attributi di rischio che devono essere presi in considerazione dagli analisti della sicurezza mentre gli utenti navigano nelle acque turbolente che circondano TikTok come piattaforma e servizio. Questi includono gli attributi di rischio relativi ai dati stessi, all'utente/dispositivo, al servizio, alle pratiche commerciali dell'organizzazione, alle questioni legali e alla cybersecurity.
Da lì, i team di sicurezza possono iniziare a introdurre controlli sulla sicurezza dei dati, come la limitazione/blocco dei login, dei caricamenti e/o dei download; lo strozzamento della larghezza di banda dei dati; l'introduzione di pagine web di educazione personalizzata per gli utenti; e altre misure per non solo limitare la fuga di dati dai dispositivi sulla piattaforma TikTok, ma, in modo più olistico, per controllare meglio il flusso di dati sensibili dal raggiungere i dispositivi degli utenti che potrebbero consumare altri servizi online discutibili che potrebbero gestire male i dati.
Cosa si può fare?