Salte para o conteúdo principal

Recursos

INTELLIGENCE DIGEST

Hickory Dickory Dock: Problemas de privacidade afectam o TikTok a nível mundial

Os seus dados estão a dançar a um ritmo diferente?

24 de abril de 2023

Por Rodman Ramezanian - Líder Global de Ameaças na Nuvem

O TikTok começou por ser um meio de gerar gargalhadas através de pequenos clips de vídeo durante a pandemia do coronavírus, mas o formato de vídeo curto que capta as atenções solidificou o seu lugar entre as aplicações mais populares das redes sociais. Mas, à semelhança de outras aplicações estrangeiras que se tornam virais, o TikTok, de propriedade chinesa, continua a ser alvo de escrutínio relativamente às suas práticas de recolha de dados e de privacidade. Desta vez, porém, não são apenas os Estados Unidos que estão a soar o alarme.

Citando uma ameaça à "soberania e integridade", a Austrália junta-se a um punhado de governos globais, incluindo a Índia, o Reino Unido, os Estados Unidos, o Canadá e muitos países da Europa, pedindo que a aplicação TikTok seja removida dos telemóveis de todos os funcionários. Os governos estão a começar a levar os riscos do TikTok mais a sério, mas, com mais de mil milhões de utilizadores mensais activos, será que as empresas e as organizações não governamentais estão a fazer o mesmo?

De acordo com o Center for Internet Security, "os dados que o TikTok recolhe dos utilizadores contêm informações sensíveis e são frequentemente obtidos sem o conhecimento explícito do utilizador". Estes dados incluem, mas não se limitam a, "marca e modelo do dispositivo, versão do sistema operativo (SO), operadora móvel, histórico de navegação, nomes e tipos de aplicações e ficheiros, padrões ou ritmos de teclas, ligações sem fios, geolocalização". O TikTok chega mesmo a recolher outras informações pessoalmente identificáveis (IPI), como a idade, a imagem, os contactos pessoais e outros dados recolhidos através da sua capacidade integrada de início de sessão único (SSO).

Tendo em conta que a aplicação pode recolher "o conteúdo das [mensagens] e informações sobre quando [as mensagens são] enviadas, recebidas e/ou lidas", e, em particular, com a recente audição do CEO do TikTok no Congresso, que veio acrescentar mais substância ao diálogo geral, é fácil perceber por que razão as grandes organizações e empresas de todo o mundo estão cada vez mais cautelosas em relação ao TikTok e manifestam preocupação com a proteção dos dados pessoais e empresariais que recolhe.

Porque é que estas violações ocorrem?

Embora as redes sociais sempre tenham apresentado vários riscos de segurança, incluindo a vulnerabilidade a phishing e fraude, um ponto principal de preocupação para os governos, empresas e outras grandes organizações é a indefinição entre a utilização pessoal e empresarial dos dispositivos em que o TikTok é instalado e consumido.

Além disso, o potencial de utilização indevida de dados por entidades externas e internas é uma preocupação significativa. Isto deve-se à forma como as plataformas e os serviços online estão interligados, com tokens de autenticação partilhados, integrações de início de sessão único, portabilidade de dados e muito mais. As ramificações de um potencial roubo e utilização indevida de dados podem ser graves, especialmente tendo em conta a utilização generalizada de serviços Web e de nuvem.

A questão é saber quantas organizações se preocupam com as ameaças à segurança o suficiente para apoiar uma proibição do TikTok e quantas não têm consciência dos riscos que estão a correr.

Tal como acontece com qualquer ameaça da Web, da nuvem ou móvel, é crucial que as equipas de segurança aprendam e compreendam os principais factores de risco. Como é que o TikTok lida com os dados? Como identifica e autentica utilizadores e dispositivos de forma segura? Que tipo de tráfego e conteúdo pode ser partilhado e consumido a partir dele? Onde estão os pontos de presença do serviço e o que é que isso significa para o apetite de risco de uma organização?

Com o vasto número atual de utilizadores, dispositivos, localizações, requisitos comerciais e muito mais, é por vezes difícil adotar abordagens pesadas, bloqueando explicitamente o acesso a determinados serviços de um dia para o outro. Há muito a dizer sobre a educação dos utilizadores e a introdução de barreiras de segurança nos casos em que uma organização pode não querer bloquear abruptamente os serviços de uma só vez.

Skyhigh Security aborda esta questão detalhando vários atributos de risco que devem ser considerados pelos analistas de segurança à medida que os utilizadores navegam nas águas turbulentas que envolvem o TikTok como plataforma e serviço. Estes incluem atributos de risco relacionados com os próprios dados, o utilizador/dispositivo, o serviço, as práticas comerciais da organização, questões legais e cibersegurança.

A partir daí, as equipas de segurança podem começar a introduzir controlos de segurança dos dados, como a limitação/bloqueio de inícios de sessão, carregamentos e/ou transferências; limitação da largura de banda dos dados; introdução de páginas Web educativas personalizadas para os utilizadores; e outras medidas não só para travar a fuga de dados dos dispositivos para a plataforma TikTok, mas também, de uma forma mais holística, para controlar melhor o fluxo de dados sensíveis que chegam aos dispositivos dos utilizadores que podem estar a consumir outros serviços online questionáveis que podem tratar mal os dados.

O que é que pode fazer?

Utilize Skyhigh Security?

  • Use o Skyhigh Cloud Registry para aproveitar um algoritmo de risco proprietário e padronizado.
  • Utilize as regras de controlo de atividade para definir critérios para actividades aceitáveis do utilizador, tais como início de sessão, carregamento e/ou transferência em dispositivos geridos.
  • Implemente políticas de sombra/web em locais onde o TikTok possa já estar proibido e comece a limitar e a controlar o acesso noutros locais.
  • Adapte a ponderação de risco global da sua organização em várias categorias de atributos de risco.
  • Crie e atribua grupos de serviços com base em características específicas, tais como práticas de tratamento de dados, pontos de presença globais, violações recentes e muito mais.
Rodman Ramezanian

Sobre o autor

Rodman Ramezanian

Líder global de ameaças à nuvem

Com mais de 11 anos de vasta experiência no sector da cibersegurança, Rodman Ramezanian é Consultor de Segurança na Nuvem Empresarial, responsável pelo aconselhamento técnico, capacitação, conceção de soluções e arquitetura em Skyhigh Security. Nesta função, Rodman concentra-se principalmente em organizações do governo federal australiano, de defesa e empresariais.

Rodman é especialista nas áreas de Adversarial Threat Intelligence, Cibercrime, Proteção de Dados e Segurança na Nuvem. É um avaliador IRAP aprovado pela Direção de Sinais Australiana (ASD) e possui atualmente as certificações CISSP, CCSP, CISA, CDPSE, Microsoft Azure e MITRE ATT&CK CTI.

Com sinceridade, Rodman tem uma forte paixão por articular assuntos complexos em termos simples, ajudando o cidadão comum e os novos profissionais de segurança a compreender o quê, porquê e como da cibersegurança.

Destaques do ataque

  • As aplicações de redes sociais estão enraizadas nos dados e nos dispositivos em que se encontram - os mesmos dispositivos que são utilizados atualmente para fins pessoais e empresariais.
  • O TikTok, como todas as aplicações, abre potencialmente o acesso a todo o telemóvel de um utilizador. As aplicações para telemóveis podem oferecer um potencial credível para que essa aplicação faça a ponte entre o acesso a outras coisas no dispositivo - neste caso, os dados que detém.
  • O TikTok também pode aceder e recolher informações de quaisquer outras fontes de início de sessão ou que estejam ligadas ao perfil de um utilizador. Isso pode incluir Google pessoal e/ou corporativo, Facebook, Twitter ou qualquer outro serviço usado para autenticar usuários no TikTok.
  • Com a proliferação contínua das práticas de "traga o seu próprio dispositivo" (BYOD), a linha virtual entre a utilização pessoal e a utilização empresarial está a esbater-se. As mesmas aplicações preocupantes continuam a coexistir com grandes quantidades de pontos de dados empresariais que, aparentemente, acabam nas mãos erradas.
  • Agora que os governos mundiais estão a tomar medidas para proibir o TikTok nos dispositivos dos funcionários públicos, as empresas e outras organizações também estão a ser incentivadas a repensar a forma como utilizam o TikTok como plataforma e serviço.