O TikTok começou por ser um meio de gerar gargalhadas através de pequenos clips de vídeo durante a pandemia do coronavírus, mas o formato de vídeo curto que capta as atenções solidificou o seu lugar entre as aplicações mais populares das redes sociais. Mas, à semelhança de outras aplicações estrangeiras que se tornam virais, o TikTok, de propriedade chinesa, continua a ser alvo de escrutínio relativamente às suas práticas de recolha de dados e de privacidade. Desta vez, porém, não são apenas os Estados Unidos que estão a soar o alarme.
Citando uma ameaça à "soberania e integridade", a Austrália junta-se a um punhado de governos globais, incluindo a Índia, o Reino Unido, os Estados Unidos, o Canadá e muitos países da Europa, pedindo que a aplicação TikTok seja removida dos telemóveis de todos os funcionários. Os governos estão a começar a levar os riscos do TikTok mais a sério, mas, com mais de mil milhões de utilizadores mensais activos, será que as empresas e as organizações não governamentais estão a fazer o mesmo?
De acordo com o Center for Internet Security, "os dados que o TikTok recolhe dos utilizadores contêm informações sensíveis e são frequentemente obtidos sem o conhecimento explícito do utilizador". Estes dados incluem, mas não se limitam a, "marca e modelo do dispositivo, versão do sistema operativo (SO), operadora móvel, histórico de navegação, nomes e tipos de aplicações e ficheiros, padrões ou ritmos de teclas, ligações sem fios, geolocalização". O TikTok chega mesmo a recolher outras informações pessoalmente identificáveis (IPI), como a idade, a imagem, os contactos pessoais e outros dados recolhidos através da sua capacidade integrada de início de sessão único (SSO).
Tendo em conta que a aplicação pode recolher "o conteúdo das [mensagens] e informações sobre quando [as mensagens são] enviadas, recebidas e/ou lidas", e, em particular, com a recente audição do CEO do TikTok no Congresso, que veio acrescentar mais substância ao diálogo geral, é fácil perceber por que razão as grandes organizações e empresas de todo o mundo estão cada vez mais cautelosas em relação ao TikTok e manifestam preocupação com a proteção dos dados pessoais e empresariais que recolhe.
Porque é que estas violações ocorrem?
Embora as redes sociais sempre tenham apresentado vários riscos de segurança, incluindo a vulnerabilidade a phishing e fraude, um ponto principal de preocupação para os governos, empresas e outras grandes organizações é a indefinição entre a utilização pessoal e empresarial dos dispositivos em que o TikTok é instalado e consumido.
Além disso, o potencial de utilização indevida de dados por entidades externas e internas é uma preocupação significativa. Isto deve-se à forma como as plataformas e os serviços online estão interligados, com tokens de autenticação partilhados, integrações de início de sessão único, portabilidade de dados e muito mais. As ramificações de um potencial roubo e utilização indevida de dados podem ser graves, especialmente tendo em conta a utilização generalizada de serviços Web e de nuvem.
A questão é saber quantas organizações se preocupam com as ameaças à segurança o suficiente para apoiar uma proibição do TikTok e quantas não têm consciência dos riscos que estão a correr.
Tal como acontece com qualquer ameaça da Web, da nuvem ou móvel, é crucial que as equipas de segurança aprendam e compreendam os principais factores de risco. Como é que o TikTok lida com os dados? Como identifica e autentica utilizadores e dispositivos de forma segura? Que tipo de tráfego e conteúdo pode ser partilhado e consumido a partir dele? Onde estão os pontos de presença do serviço e o que é que isso significa para o apetite de risco de uma organização?
Com o vasto número atual de utilizadores, dispositivos, localizações, requisitos comerciais e muito mais, é por vezes difícil adotar abordagens pesadas, bloqueando explicitamente o acesso a determinados serviços de um dia para o outro. Há muito a dizer sobre a educação dos utilizadores e a introdução de barreiras de segurança nos casos em que uma organização pode não querer bloquear abruptamente os serviços de uma só vez.
Skyhigh Security aborda esta questão detalhando vários atributos de risco que devem ser considerados pelos analistas de segurança à medida que os utilizadores navegam nas águas turbulentas que envolvem o TikTok como plataforma e serviço. Estes incluem atributos de risco relacionados com os próprios dados, o utilizador/dispositivo, o serviço, as práticas comerciais da organização, questões legais e cibersegurança.
A partir daí, as equipas de segurança podem começar a introduzir controlos de segurança dos dados, como a limitação/bloqueio de inícios de sessão, carregamentos e/ou transferências; limitação da largura de banda dos dados; introdução de páginas Web educativas personalizadas para os utilizadores; e outras medidas não só para travar a fuga de dados dos dispositivos para a plataforma TikTok, mas também, de uma forma mais holística, para controlar melhor o fluxo de dados sensíveis que chegam aos dispositivos dos utilizadores que podem estar a consumir outros serviços online questionáveis que podem tratar mal os dados.
O que é que pode fazer?