TikTok未修漏洞节省数千万美元，一年后在海外大选期间遭利用

前情回顾·选举网络威胁态势

• 起底以色列神秘黑客组织：干涉全球超30场国家选举活动，成功率高达八成

• 起底瓦格纳集团首脑普里戈任：信息战巨头 曾干预美国大选

• 勒索攻击影响政治安全，美国议员选民沟通平台中断服务

安全内参7月26日消息，土耳其总统埃尔多安险胜连任的几周前，TikTok代理安全主管Kim Albarella收到一条坏消息：多达70万个土耳其TikTok账户遭到黑客攻击，攻击者能够访问用户个人信息并控制他们的账户。

根据TikTok内部电子邮件、聊天记录、文件，以及其他内部、外部信息，该公司早在一年前就知道这个漏洞。该漏洞源于所谓的“灰色路由”， 即通过不安全的渠道发送短信。

2022年4月，TikTok安全主管Roland Cloutier收到英国国家网络安全中心——英国情报机构“政府通信总部”（GCHQ）下属部门发来的电子邮件。邮件警告，如使用灰色路由，俄罗斯等其他国家的“SIM卡农场”可能会请求和拦截一次性密码，获取TikTok用户账户的访问权限。

通俗来讲，灰色路由就是通过不安全的渠道发送短信，从而绕过国际电信协议规定的费用。使用灰色路由可以节约公司成本，避开速率限制和反垃圾邮件检测。但是，这样做可能会危及信息安全，使信息易受拦截。

迄今规模最大的TikTok账户被攻击事件

Roland Cloutier团队对GCHQ提供的信息展开内部调查，发现TikTok确实在使用灰色路由来降低成本。调查结束后，TikTok公司一开始考虑更换短信服务提供商。但是，该公司最终决定不予更换，原因显而易见——如修复灰色路由问题，公司每月将损失数百万美元。

美国斯坦福大学网络观察室主任、前Facebook安全主管Alex Stamos警告说，因为没有更多信息，很难判断此次TikTok数据泄露有多严重。他表示：“这可能是一次高级垃圾邮件攻击，也可能是国家行为者发动的攻击。如果只是70万个账户被黑，我会说那不过一个普通的星期三。”但是，他也指出，短信劫持攻击通常比随机接管攻击更有针对性，“威权主义国家一般都会控制电信公司。”

TikTok公司承认，这次利用漏洞的黑客攻击是迄今为止规模最大的TikTok账户被攻击事件。（TikTok否认了2022年9月ATW组织声称泄露数据的传闻。）

TikTok发言人Alex Haurek撰写电子邮件，回应对这次攻击的详细询问：“TikTok在4月意识到，一些异常活动影响了部分用户账户的点赞和关注数量。我们立即采取措施遏制并终止这些活动，并通知了受影响的用户，帮助他们保护了自己的账户。TikTok没有被‘黑’。我们的内部系统没有受到破坏，也没有公司数据被窃取。TikTok发现数据泄露后，立即对不真实行为加强监控，努力化解问题。目前问题已得到解决。TikTok没有发现任何未经授权的内容被发布或用于私信。”

权力即责任！TikTok面临高安全要求

最近几个月，TikTok及母公司字节跳动一直面临着美国严厉的数据安全审查。

今年4月，福布斯爆料称，TikTok首席执行官周受资在最近的听证会上表示“TikTok美国数据一直存储在弗吉尼亚州和新加坡”，然而并非如此。同时，字节跳动正接受美国联邦刑事调查，原因是他们利用TikTok应用对新闻工作者进行监视。

目前尚不清楚是谁利用了前述漏洞。在埃尔多安的领导下，土耳其政府经常利用国家支持的网络攻击团队，对新闻工作者和其他批评人士实施攻击和恐吓。5月大选前，埃尔多安依靠深度伪造技术和审查手段吸引选民。他在选举中的主要对手Kemal Kilicdaroglu还指责俄罗斯政府在选举前几天散布虚假信息。

TikTok发言人Alex Haurek表示，TikTok内部调查并未发现这一活动与土耳其选举有关。

TikTok 是世界上最受欢迎的应用之一。这次安全漏洞凸显了该公司拥有的力量和应承担的责任。与科技巨头Meta（Facebook）、推特和谷歌一样，TikTok无穷无尽的个性化推送有能力影响市场、改变文化、左右选举结果。这种力量令人担忧TikTok公司与其他政府的关联。同时，拥有数十亿用户的TikTok应用也成为黑客、机器人军团、网络骗子等网络犯罪分子的主要目标。

TikTok或将成为下一个政治讨论场所

信息利用风险在存在人权侵犯记录的国家，以及重要选举之前会加剧。

TikTok一直强调，政治在其平台上属于次要地位。这是为了突出他们与Facebook的区别。

Facebook曾鼓励政治家利用他们的平台传播理念。TikTok游说人员告诉政客和记者，TikTok“不是政治活动的首选场所”，同时又保证，TikTok平台上的政治言论不会被审查。

但是，随着推特逐渐右倾，Meta对政治内容的态度发生180度转变，TikTok可能自然而然地成为下一个政治讨论场所。

近日，TikTok发布了一篇博文，宣布其应用正在引入通行密钥，让用户无需使用短信验证码即可登录账户，并加入了FIDO联盟这一安全验证标准组织。FIDO 联盟的一条推文显示，TikTok于4月加入了该组织，而新的通行密钥功能在6月末推出。

当被问及 TikTok 或字节跳动的短信供应商现在是否仍在使用灰色路由时，Haurek表示：“像许多跨国公司一样，我们在电信领域拥有多个合作伙伴，虽然我们没有按地理位置披露这些合作伙伴，但我们不断努力保持我们的社区是安全的。”

参考资料：https://www.forbes.com/sites/emilybaker-white/2023/07/18/turkey-tiktok-hack-presidential-election/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。