Vai al contenuto principale
DIGEST DELL'INTELLIGENCE

Hickory Dickory Dock: I problemi di privacy affliggono TikTok a livello globale

I suoi dati stanno ballando un ritmo diverso?

24 aprile 2023

Di Rodman Ramezanian - Responsabile globale delle minacce al cloud

Nato come mezzo per generare risate attraverso brevi video clip durante la pandemia di coronavirus, TikTok ha preso il formato video breve che cattura l'attenzione e ha consolidato il suo posto tra le app di social media più popolari. Ma proprio come altre app di proprietà straniera che diventano virali, TikTok, di proprietà cinese, continua a subire controlli sulle sue pratiche di raccolta dati e privacy. Questa volta, però, non sono solo gli Stati Uniti a suonare il campanello d'allarme.

Citando una minaccia alla "sovranità e all'integrità", l'Australia si unisce a una manciata di governi globali, tra cui l'India, il Regno Unito, gli Stati Uniti, il Canada e molti Paesi in Europa, che chiedono la rimozione dell'app TikTok dai telefoni cellulari di tutti i funzionari. I governi stanno iniziando a prendere più seriamente i rischi di TikTok, ma, con oltre 1 miliardo di utenti attivi mensili, le aziende e le organizzazioni non governative stanno facendo lo stesso?

Secondo il Center for Internet Security, "i dati che TikTok raccoglie dagli utenti contengono informazioni sensibili e spesso vengono acquisiti senza che l'utente ne sia esplicitamente consapevole". Questi dati includono, ma non si limitano a, "marca e modello del dispositivo, versione del Sistema Operativo (OS), operatore di telefonia mobile, cronologia di navigazione, nomi e tipi di app e file, modelli o ritmi di battitura, connessioni wireless, geolocalizzazione". TikTok arriva persino a raccogliere altre informazioni di identificazione personale (PII) come l'età, l'immagine, i contatti personali e altri dati raccolti attraverso la sua funzionalità integrata di single sign-on (SSO).

Considerando che l'applicazione può raccogliere "il contenuto dei [messaggi] e le informazioni sul momento in cui [i messaggi] vengono inviati, ricevuti e/o letti" e, in particolare, con la recente audizione del CEO di TikTok al Congresso che ha aggiunto ulteriore sostanza al dialogo generale, è facile capire perché le grandi organizzazioni e le aziende di tutto il mondo sono sempre più diffidenti nei confronti di TikTok ed esprimono preoccupazione per la protezione dei dati personali e aziendali che raccoglie.

Perché si verificano queste violazioni?

Mentre i social media hanno sempre posto vari rischi di sicurezza, tra cui la vulnerabilità al phishing e alle frodi, un punto primario di preoccupazione per i governi, le imprese e altre grandi organizzazioni è la confusione dei confini tra l'uso personale e aziendale dei dispositivi su cui TikTok è installato e consumato.

Inoltre, il potenziale di abuso dei dati da parte di soggetti esterni e interni è una preoccupazione significativa. Ciò è dovuto all'intreccio di piattaforme e servizi online, con token di autenticazione condivisi, integrazioni single sign-on, portabilità dei dati e altro ancora. Le ramificazioni di un potenziale furto e abuso di dati potrebbero essere gravi, soprattutto in considerazione dell'uso diffuso di servizi web e cloud.

La domanda è: quante organizzazioni si preoccupano delle minacce alla sicurezza tanto da sostenere un divieto di TikTok, e quante invece sono del tutto inconsapevoli dei rischi che corrono.

Come per qualsiasi minaccia web, cloud o mobile, è fondamentale che i team di sicurezza imparino e comprendano i principali fattori di rischio. Come gestisce i dati TikTok? Come identifica e autentica gli utenti e i dispositivi in modo sicuro? Che tipo di traffico e di contenuti possono essere condivisi e consumati? Dove sono i punti di presenza del servizio e cosa significa per la propensione al rischio di un'organizzazione?

Con il vasto numero di utenti, dispositivi, sedi, requisiti aziendali e altro ancora, a volte è difficile adottare approcci pesanti, bloccando esplicitamente l'accesso a determinati servizi durante la notte. È molto importante educare gli utenti e introdurre barriere di sicurezza nei casi in cui un'organizzazione non voglia bloccare bruscamente i servizi in un colpo solo.

Skyhigh Security affronta questo problema dettagliando numerosi attributi di rischio che devono essere presi in considerazione dagli analisti della sicurezza mentre gli utenti navigano nelle acque turbolente che circondano TikTok come piattaforma e servizio. Questi includono gli attributi di rischio relativi ai dati stessi, all'utente/dispositivo, al servizio, alle pratiche commerciali dell'organizzazione, alle questioni legali e alla cybersecurity.

Da lì, i team di sicurezza possono iniziare a introdurre controlli sulla sicurezza dei dati, come la limitazione/blocco dei login, dei caricamenti e/o dei download; lo strozzamento della larghezza di banda dei dati; l'introduzione di pagine web di educazione personalizzata per gli utenti; e altre misure per non solo limitare la fuga di dati dai dispositivi sulla piattaforma TikTok, ma, in modo più olistico, per controllare meglio il flusso di dati sensibili dal raggiungere i dispositivi degli utenti che potrebbero consumare altri servizi online discutibili che potrebbero gestire male i dati.

Cosa si può fare?

Utilizza Skyhigh Security?

  • Utilizza il Registro Skyhigh Cloud per sfruttare un algoritmo di rischio proprietario e standardizzato.
  • Sfrutta le regole di controllo delle attività per definire i criteri delle attività utente accettabili, come il login, il caricamento e/o il download sui dispositivi gestiti.
  • Implementare le politiche shadow/web nei luoghi in cui TikTok potrebbe essere già vietato e iniziare a limitare e controllare l'accesso in altri luoghi.
  • Personalizzare la ponderazione del rischio globale della sua organizzazione attraverso numerose categorie di attributi di rischio.
  • Crea e assegna gruppi di servizi in base a caratteristiche specifiche, come le pratiche di gestione dei dati, i punti di presenza globali, le violazioni recenti e altro ancora.
Rodman Ramezanian

Sull'autore

Rodman Ramezanian

Responsabile globale delle minacce al cloud

Con oltre 11 anni di vasta esperienza nel settore della cybersecurity, Rodman Ramezanian è un Enterprise Cloud Security Advisor, responsabile della consulenza tecnica, dell'abilitazione, della progettazione di soluzioni e dell'architettura presso Skyhigh Security. In questo ruolo, Rodman si concentra principalmente sulle organizzazioni del Governo Federale Australiano, della Difesa e delle imprese.

Rodman è specializzato nelle aree di Adversarial Threat Intelligence, Cyber Crime, Data Protection e Cloud Security. È un Valutatore IRAP approvato dall'Australian Signals Directorate (ASD) - attualmente in possesso delle certificazioni CISSP, CCSP, CISA, CDPSE, Microsoft Azure e MITRE ATT&CK CTI.

In tutta franchezza, Rodman ha una forte passione nell'articolare questioni complesse in termini semplici, aiutando la persona media e i nuovi professionisti della sicurezza a capire il cosa, il perché e il come della cybersecurity.

Punti salienti dell'attacco

  • Le app dei social media sono radicate nei dati e nei dispositivi su cui si trovano, gli stessi che oggi vengono utilizzati sia per scopi personali che aziendali.
  • TikTok, come tutte le applicazioni, apre potenzialmente l'accesso all'intero telefono cellulare di un utente. Le applicazioni di telefonia mobile possono offrire un potenziale credibile per l'accesso ponte ad altre cose sul dispositivo - in questo caso, i dati che contiene.
  • TikTok può anche accedere e raccogliere informazioni da qualsiasi altra fonte di accesso o da quelle che sono collegate al profilo di un utente. Ciò può includere Google personale e/o aziendale, Facebook, Twitter o qualsiasi altro servizio utilizzato per autenticare gli utenti su TikTok.
  • Con la continua proliferazione delle pratiche BYOD (Bring Your Own Device), il confine virtuale tra l'uso personale e quello aziendale si fa sempre più labile. Le stesse applicazioni preoccupanti continuano a coesistere con grandi quantità di dati aziendali che apparentemente finiscono nelle mani sbagliate.
  • Ora che i governi globali hanno deciso di vietare TikTok sui dispositivi dei dipendenti pubblici, anche le aziende e le altre organizzazioni sono state incoraggiate a ripensare il modo in cui utilizzano TikTok come piattaforma e servizio.