TikTok lại nằm trong tầm ngắm khi Microsoft và các chuyên gia phát hiện lỗ hổng bảo mật

Hôm 5.9, một số nhà phân tích an ninh mạng đã tweet về việc phát hiện ra lỗ hổng của một máy chủ không an toàn cho phép truy cập vào bộ nhớ TikTok, nơi mà họ tin rằng chứa dữ liệu cá nhân của người dùng. Chỉ vài ngày trước đó, Microsoft cho biết đã tìm thấy "lỗ hổng nghiêm trọng" trong ứng dụng TikTok phiên bản Android, "có thể cho phép những kẻ tấn công xâm nhập tài khoản của người dùng chỉ bằng một cú nhấp chuột".

TikTok đã vượt qua 1 tỉ người dùng hàng tháng một năm trước và hiện được xếp hạng là ứng dụng yêu thích của nhiều người trẻ tuổi. Điều đó khiến nó trở thành mục tiêu hấp dẫn của các hacker, vốn có thể tìm cách chiếm đoạt các tài khoản phổ biến hoặc bán lại thông tin nhạy cảm.

TikTok bị chính quyền ông Trump xác định là mối đe dọa về quyền riêng tư vào năm 2020 và gây lo ngại vì mối liên hệ tiềm ẩn giữa ByteDance (công ty mẹ của TikTok có trụ sở tại Bắc Kinh) với chính phủ Trung Quốc.

TikTok tuyên bố một vi phạm dữ liệu được phát hiện vào cuối tuần qua là không chính xác. “Nhóm bảo mật của chúng tôi đã điều tra tuyên bố này và xác định rằng mã được đề cập hoàn toàn không liên quan đến mã nguồn back-end của TikTok”, một phát ngôn viên của TikTok cho biết.

Back-end là tất cả những phần hỗ trợ hoạt động của website hoặc ứng dụng mà người dùng không thể nhìn thấy được.

Vi phạm dữ liệu là vi phạm bảo mật, trong đó dữ liệu nhạy cảm, được bảo vệ hoặc bí mật được sao chép, truyền, xem, đánh cắp hoặc sử dụng trái phép bởi cá nhân mà không được phép. Các thuật ngữ khác là tiết lộ thông tin không cố ý, rò rỉ dữ liệu, rò rỉ thông tin và tràn dữ liệu.

Troy Hunt, nhà tư vấn bảo mật web người Úc, đã xem qua một số mẫu dữ liệu được liệt kê trong các file bị rò rỉ và tìm thấy sự trùng khớp giữa hồ sơ người dùng với video được đăng dưới các ID đó trên TikTok. Thế nhưng, một số chi tiết có trong vụ rò rỉ là “dữ liệu có thể truy cập công khai được lẽ ra được xây dựng mà không bị vi phạm”.

“Điều này cho đến nay khá khó kết luận. Một số dữ liệu khớp với thông tin sản xuất, dù thông tin có thể truy cập công khai. Một số dữ liệu là rác, nhưng nó có thể là dữ liệu phi sản xuất hoặc dữ liệu thử nghiệm. Cho đến nay, đó là một túi hỗn hợp", Troy Hunt đăng trên Twitter.

Lỗ hổng được Microsoft xác định là vấn đề hẹp hơn, có thể ảnh hưởng đến smartphone chạy Android. Nó có thể cho phép những kẻ tấn công truy cập và sửa đổi “hồ sơ TikTok và thông tin nhạy cảm, chẳng hạn công khai video riêng tư, gửi tin nhắn và tải video lên thay mặt người dùng”, Dimitrios Valsamaras từ Microsoft 365 Defender Research Team viết.

Người phát ngôn TikTok cho biết công ty đã phản hồi nhanh chóng với các phát hiện của Microsoft và sửa lỗi bảo mật được tìm thấy "trong một số phiên bản cũ hơn của ứng dụng Android".

Tuy nhiên, các vấn đề dù không rõ ràng hay nhỏ cũng hướng sự tập trung cao độ vào TikTok và ByteDance vào thời điểm Mỹ có thể tăng cường các biện pháp chống lại các doanh nghiệp liên kết với Trung Quốc. Vào tháng 6 vừa qua, 9 thượng nghị sĩ Mỹ đã viết một bức thư công khai cho Giám đốc điều hành TikTok yêu cầu giải thích các vi phạm an ninh bị cáo buộc.

Tổng thống Joe Biden dự kiến ​​sẽ ký một lệnh hành pháp hạn chế đầu tư của Mỹ vào các công ty công nghệ Trung Quốc và có khả năng xảy ra các hành động riêng biệt nhắm đến TikTok, khi chính quyền đang chú ý đến việc liệu chính phủ Trung Quốc có quyền truy cập vào dữ liệu khách hàng Mỹ không.

TikTok nói với các nhà lập pháp Mỹ rằng đã thực hiện các bước để bảo vệ dữ liệu đó thông qua hợp đồng với hãng phần mềm nổi tiếng Oracle.

Tháng 6, TikTok cho biết đã hoàn tất việc di chuyển thông tin người dùng Mỹ sang máy chủ Oracle nhưng vẫn đang sử dụng các trung tâm dữ liệu ở Mỹ và Singapore để sao lưu.

TikTok nói dự kiến ​​"sẽ xóa dữ liệu được bảo vệ của người dùng Mỹ khỏi hệ thống riêng và chuyển toàn bộ sang các máy chủ đám mây Oracle đặt tại Mỹ".

“Có rất nhiều sự chú ý về cách thức hoạt động của TikTok. Có khoảng cách lớn giữa cách hoạt động với cách TikTok nói rằng nó đang hoạt động”, theo Robert Potter, đồng Giám đốc điều hành Internet 2.0 Inc (công ty an ninh mạng Úc-Mỹ).

Vào tháng 7, đội của Robert Potter cho biết trong một báo cáo rằng họ đã phát hiện thấy "việc thu thập dữ liệu quá mức" do TikTok thực hiện trên thiết bị của người dùng. Theo đó, TikTok kiểm tra vị trí thiết bị ít nhất một lần mỗi giờ và có mã thu thập số serial cả thiết bị lẫn thẻ SIM.

Báo cáo đã nhận được sự chú ý rộng rãi ở Úc. Bà Clare O’Neil, Bộ trưởng Bộ Nội vụ mới, thông báo hôm 5.9 rằng bà yêu cầu bộ phận của mình điều tra dữ liệu mà TikTok thu thập được và ai có thể truy cập dữ liệu đó.

“Chúng tôi gặp phải vấn đề cơ bản này ở đây khi các hãng công nghệ tại các quốc gia khác nhau có cách tiếp cận độc đoán hơn với khu vực tư nhân. TikTok không phải là sự khởi đầu và kết thúc chuyện này. Đó là một trong số rất nhiều vấn đề do các hãng công nghệ thống trị này đặt ra và vai trò của chúng trong cuộc sống của chúng tôi", bà Clare O’Neil viết.

Sự cảnh giác với TikTok và những gã khổng lồ công nghệ Trung Quốc đã dấy lên ở nhiều quốc gia. Ví dụ, Ngoại trưởng Anh - Liz Truss đã cam kết trấn áp các công ty Trung Quốc, gồm cả TikTok, trong cuộc tranh luận trực tiếp gần đây với ông Rishi Sunak như một phần trong chiến dịch tranh cử để kế nhiệm ông Boris Johnson làm Thủ tướng.

Khi Liz Truss nói rằng bà sẽ thẳng tay đàn áp các doanh nghiệp Trung Quốc như TikTok nếu được bầu làm lãnh đạo, phát ngôn viên Bộ Ngoại giao Trung Quốc - Triệu Lập Kiên gọi nhận xét của bà là “vô trách nhiệm”.

Ông Triệu Lập Kiên nhấn mạnh: "Trung Quốc sẽ không đưa ra bất cứ bình luận nào về việc bầu cử đang diễn ra tại Anh, vì đó là việc nội bộ của nước này. Tuy nhiên, các chính khách cần tự đưa ra giải pháp của riêng mình, thay vì chỉ trích Trung Quốc để tranh cử".