TikTok未修漏洞節省數千萬美元，一年后在海外大選期間遭利用

7月26日消息，土耳其總統埃爾多安險勝連任的幾周前，TikTok代理安全主管Kim Albarella收到一條壞消息：多達70萬個土耳其TikTok賬戶遭到黑客攻擊，攻擊者能夠訪問用戶個人信息并控制他們的賬戶。根據TikTok內部電子郵件、聊天記錄、文件，以及其他內部、外部信息，該公司早在一年前就知道這個漏洞。該漏洞源于所謂的“灰色路由”， 即通過不安全的渠道發送短信。2022年4月，TikTok安全主管Roland Cloutier收到英國國家網絡安全中心——英國情報機構“政府通信總部”（GCHQ）下屬部門發來的電子郵件。郵件警告，如使用灰色路由，俄羅斯等其他國家的“SIM卡農場”可能會請求和攔截一次性密碼，獲取TikTok用戶賬戶的訪問權限。通俗來講，灰色路由就是通過不安全的渠道發送短信，從而繞過國際電信協議規定的費用。使用灰色路由可以節約公司成本，避開速率限制和反垃圾郵件檢測。但是，這樣做可能會危及信息安全，使信息易受攔截。

迄今規模最大的TikTok賬戶被攻擊事件

Roland Cloutier團隊對GCHQ提供的信息展開內部調查，發現TikTok確實在使用灰色路由來降低成本。調查結束后，TikTok公司一開始考慮更換短信服務提供商。但是，該公司最終決定不予更換，原因顯而易見——如修復灰色路由問題，公司每月將損失數百萬美元。美國斯坦福大學網絡觀察室主任、前Facebook安全主管Alex Stamos警告說，因為沒有更多信息，很難判斷此次TikTok數據泄露有多嚴重。他表示：“這可能是一次高級垃圾郵件攻擊，也可能是國家行為者發動的攻擊。如果只是70萬個賬戶被黑，我會說那不過一個普通的星期三?！钡?，他也指出，短信劫持攻擊通常比隨機接管攻擊更有針對性，“威權主義國家一般都會控制電信公司?！盩ikTok公司承認，這次利用漏洞的黑客攻擊是迄今為止規模最大的TikTok賬戶被攻擊事件。（TikTok否認了2022年9月ATW組織聲稱泄露數據的傳聞。）TikTok發言人Alex Haurek撰寫電子郵件，回應對這次攻擊的詳細詢問：“TikTok在4月意識到，一些異?；顒佑绊懥瞬糠钟脩糍~戶的點贊和關注數量。我們立即采取措施遏制并終止這些活動，并通知了受影響的用戶，幫助他們保護了自己的賬戶。TikTok沒有被‘黑’。我們的內部系統沒有受到破壞，也沒有公司數據被竊取。TikTok發現數據泄露后，立即對不真實行為加強監控，努力化解問題。目前問題已得到解決。TikTok沒有發現任何未經授權的內容被發布或用于私信?！?/p>

權力即責任！TikTok面臨高安全要求

最近幾個月，TikTok及母公司字節跳動一直面臨著美國嚴厲的數據安全審查。今年4月，福布斯爆料稱，TikTok首席執行官周受資在最近的聽證會上表示“TikTok美國數據一直存儲在弗吉尼亞州和新加坡”，然而并非如此。同時，字節跳動正接受美國聯邦刑事調查，原因是他們利用TikTok應用對新聞工作者進行監視。目前尚不清楚是誰利用了前述漏洞。在埃爾多安的領導下，土耳其政府經常利用國家支持的網絡攻擊團隊，對新聞工作者和其他批評人士實施攻擊和恐嚇。5月大選前，埃爾多安依靠深度偽造技術和審查手段吸引選民。他在選舉中的主要對手Kemal Kilicdaroglu還指責俄羅斯政府在選舉前幾天散布虛假信息。

TikTok發言人Alex Haurek表示，TikTok內部調查并未發現這一活動與土耳其選舉有關。TikTok 是世界上最受歡迎的應用之一。這次安全漏洞凸顯了該公司擁有的力量和應承擔的責任。與科技巨頭Meta（Facebook）、推特和谷歌一樣，TikTok無窮無盡的個性化推送有能力影響市場、改變文化、左右選舉結果。這種力量令人擔憂TikTok公司與其他政府的關聯。同時，擁有數十億用戶的TikTok應用也成為黑客、機器人軍團、網絡騙子等網絡犯罪分子的主要目標。

TikTok或將成為下一個政治討論場所

信息利用風險在存在人權侵犯記錄的國家，以及重要選舉之前會加劇。TikTok一直強調，政治在其平臺上屬于次要地位。這是為了突出他們與Facebook的區別。Facebook曾鼓勵政治家利用他們的平臺傳播理念。TikTok游說人員告訴政客和記者，TikTok“不是政治活動的首選場所”，同時又保證，TikTok平臺上的政治言論不會被審查。但是，隨著推特逐漸右傾，Meta對政治內容的態度發生180度轉變，TikTok可能自然而然地成為下一個政治討論場所。近日，TikTok發布了一篇博文，宣布其應用正在引入通行密鑰，讓用戶無需使用短信驗證碼即可登錄賬戶，并加入了FIDO聯盟這一安全驗證標準組織。FIDO 聯盟的一條推文顯示，TikTok于4月加入了該組織，而新的通行密鑰功能在6月末推出。當被問及 TikTok 或字節跳動的短信供應商現在是否仍在使用灰色路由時，Haurek表示：“像許多跨國公司一樣，我們在電信領域擁有多個合作伙伴，雖然我們沒有按地理位置披露這些合作伙伴，但我們不斷努力保持我們的社區是安全的?！?/p>