Telefonunuzda TikTok varsa, numaranızın bulunması büyük bir olasılıktır - bir hesaba kaydolmanın ve ardından oturum açmanın en kolay yolu budur. Ama şimdi Check Point'teki güvenlik araştırmacıları bunu değiştirmenizi öneriyor. Check Point'ten Ekram Ahmed, "TikTok'a telefon numaralarını hesap tanımlayıcı olarak veren kullanıcılarda önemli gizlilik riskleri görüyorum," diye uyarıyor. "Telefon numaraları, konum takibi için çok güçlü bir veri kaynağı olabilir."
Check Point raporuna göre, "TikTok'un geçmiş veri güvenliği sorunları nedeniyle" bu uyarıyı yayınladı. Güvenlik firması bu tür son tehdide ilişkin bir rapor yayınladı. Firma, sunucu tarafındaki bir güvenlik açığının, harici bir aktörün TikTok'un veritabanını sorgulamasına, özel bilgileri çekmesine, telefon numaralarını profillere bağlamasına olanak sağlayacağını söylüyor. Bu, daha sonra ünlüler için özel iletişim bilgilerini toplamak veya ölçeğe göre hedeflenebilecek bir kullanıcı veritabanı oluşturmak için kullanılabilirdi. Basitçe söylemek gerekirse, TikTok'a rastgele sayı listeleri atmak eşleşen profilleri döndürdü.
Check Point'in Oded Vanunu bana erişilebilir ayrıntıların "telefon numaralarını, takma adları, profil ve avatar resimlerini, benzersiz kullanıcı kimliklerini ve ayrıca bir kullanıcının takipçi olup olmadığı veya bir kullanıcının profilinin gizli olup olmadığı gibi belirli profil ayarlarını içerdiğini" söylüyor.
Telefon numaralarını sosyal medya profillerine bağlamak yeni değil - bu hafta bir Telegram botunun aynı şeyi yapmak için Facebook verilerini sızdıran sorgulamasıyla ilgili başka bir haber var . Ancak TikTok ile ilgili herhangi bir şey, geçen yılki ABD kampanyası göz önüne alındığında fazladan baharat içeriyor - bu, platformun ana şirketi ByteDance ve Çin eyaleti arasındaki bağlantıların ve kullanıcıların verilerinin Çin'e geri dönme riskiyle karşı karşıya olduğu iddia ediliyor.
Rapora yanıt veren TikTok, “TikTok topluluğunun güvenliği, mahremiyeti ve emniyeti en yüksek önceliklerimizdir. Kullanıcılar etkilenmeden önce bunları çözebilmemiz için Check Point'in olası sorunları belirleme çabalarını takdir ediyoruz. Bu tür saldırıları en aza indirmek için otomasyon savunmalarımızı güçlendirmeye yatırım yapmaya devam ediyoruz. "
Check Point'teki güvenlik ekibi, geçen yıl yaşanan öfke ile bu güvenlik açığını bulmaya yönlendirildiğini söylüyor. Şimdi, tıpkı Florida'da Trump çantalarını açarken, TikTok raporu da çıktı. Zamanlama herşeydir. Spesifik sorun, TikTok'un bir kullanıcının kişilerinin eşleştiği "arkadaş bulma" özelliği ile ilgilidir. Artık sunucu tarafında düzeltilmiştir. Kullanıcıların uygulamalarını, özellikle böylesine geniş bir saldırı yüzeyi sağlayan hiper ölçekli uygulamaları güncel tutmaları önerilir, ancak bu durumda düzeltme bir kullanıcı güncellemesi gerektirmez.
Check Point'in araştırmasının arkasındaki ayrıntılı teknik POC , raporunda paylaşıldı. Gerçekte, buradaki ayrıntılar daha geniş bir konudan daha az önemlidir - özel verileri sosyal medya uygulamalarıyla paylaşıyoruz ve bu verilerin korunmasını bekliyoruz. Ancak, bu uygulamaların viral erişimini genişleten veya bunlara harcanan saatlerimizi artıran yeni özelliklerin yayılması, kötüye kullanılabilecek zayıflıkları beraberinde getiriyor. TikTok bu konuda yalnız değil daha önce yalanlanmış olsa da. Sadece Facebook'un veri sorunlarına bakın.
Vanunu, "Genel olarak, bu güvenlik açıkları birçok dijital platformda mevcut olabilir, ancak TikTok'un kurulum tabanıyla, sonuçları yüksek. Siber uzayda kaliteli veri yarışı var, TikTok'un veritabanını sorgulayabilmek, kötü aktörler için büyük bir ipucu, uygulama korumalarını atlamalarına ve kullanıcıların veri gölünü sorgulamalarına olanak tanıyor." diyor.
Trump'ın TikTok'a karşı yürüttüğü kampanya sırasında, platformun birincil savunması, diğer sosyal medya platformlarından, özellikle de Facebook'tan farklı olmamasıydı (yani daha kötüsü değildi). Ancak, doğru veya yanlış olarak, TikTok'un Çin mülkiyeti çıtayı yükseltmiştir.
Bununla birlikte, burada ciddi bir ironi var. Apple'ın gizlilik etiketleri sayesinde, TikTok ile iki ana rakibini karşılaştırabiliriz - Facebook'un Instagram'ı ve Snapchat. Ve bir bükülme var. TikTok, kesin konumları yakalamadığı için Snapchat ile genel olarak karşılaştırılabilir, belki biraz daha iyi . Ancak, veri makinesinin tam ölçeğinde gerçek bir şok yaratan yine Facebook'tur — Instagram kullanıcıları dikkatli olun.
Buradaki asıl endişe, kullanıcı telefon numaralarını içermesidir. Birden fazla e-posta adresi kullanabilir, sizi sızıntılardan ve kimlik avından korumak için e-posta takma adlarını kolayca ayarlayabilirsiniz. Ancak çoğumuzun tek bir cep telefonu numarası var ve bu son derece güçlü bir veri alanı. Mesajlaşma dünyasında, Signal ve Telegram gibi kişilerin bile bir telefon numarası etrafında optimize edildiği eleştirisi var - ama bir mesajcıyla en azından bazı gerekçeleri var - bu bir iletişim aracı, onu mesajlaşmak ve aramak için kullanıyorsunuz.
Mesajlaşma uygulamalarıyla ilgili son zamanlardaki tüm öfkeye rağmen - WhatsApp'a karşı Signal ve Telegram, Facebook Messenger'ın diğerlerine kıyasla zayıf gizlilik etiketi - bu mesajlaşma uygulamalarının hiçbiri, "diğer şirketler tarafından kullanılan uygulamalar ve web siteleri genelinde" kullanıcıları izlemek için veri kullanmıyor. Elma. Ancak TikTok ve rakipleri tam olarak bunu yapıyor.
TikTok, Instagram ve Snapchat gibi medya paylaşım uygulamaları, profilinizi tanıdığınız kişilere bağlamak için numaranızı kullanır - takip etmenizi öneren hesaplar önererek viral çekiciliğini arttırır. Telefonunuzda yeni bir hesap kurmanın en kolay yolu numaranızdır bunun size ait olduğunu doğrulamak için bir SMS kodu alacaksınız. Ardından, platformun bu verileri kişilerinizle eşleşecek şekilde kullanmasına izin vermeniz önerilir.
Kulağa ne kadar eğlenceli gelse de, size zarar verebilecek verilere sahip bu platformlara güveniyorsunuz. Telefon numaranızı kullanan siber saldırılar, e-posta eşdeğerlerinden çok daha tehlikelidir, size kötü amaçlı bağlantılar veya görüntüler veya indirmeler gönderir. Bu rakamlar aynı zamanda şu anda gördüğümüz mesajlaşma hesap hırsızlığı belasını da tetikliyor. Bir saldırgan bu numaraları diğer profil ayrıntılarıyla eşleştirebilirse, bu güçlü bir saldırı veritabanıdır.
Ahmed, "Arkadaşlarınızı bulmayı hızlandırmak için TikTok'a, Instagram'a veya herhangi bir sosyal medya platformuna numaranızı vermeye değmez," diyor, "büyük olasılıkla mahremiyetinizin ciddi şekilde ihlal edilmesi için kısa vadeli kolaylık takas edeceksiniz."
Bir e-posta adresi kullanarak ve olumsuz tarafın avantajlardan daha ağır bastığı "arkadaşlarınızı bulma" özelliklerinden kaçınarak daha güvendesiniz. Instagram'da numaranızı çevrimiçi olarak veya uygulama üzerinden kaldırabilir ve bunun yerine bir e-posta adresi kullanabilirsiniz. Yine de iki faktörlü kimlik doğrulama için SMS kullanabilirsiniz - geçmişte Facebook reklam için 2FA telefon numaralarını kullanıyordu, ancak FTC bunu durdurmaya zorladı.
Telefon numaranızı Snapchat'ta kaldırmak biraz daha zordur, ancak yine de yalnızca birkaç dakika sürer. Giriş yapabilmek için ana hesabınızın bir e-posta adresi olduğundan emin olun, ardından tanımlayıcı olarak telefon numaranızla yeni bir hesap oluşturun. Metin doğrulamasını girin ve numara geçiş yapacaktır. Telefon numaranızın gerçek hesabınızdan kaldırıldığını kontrol ettikten sonra yenisini göz ardı edebilirsiniz. Birincil hesabınızdaki telefon numarası alanında büyük olasılıkla kırmızı bir ünlem işareti olacaktır - tabii ki burada telefon numaranızı yeniden doğrulamayın!
Ancak telefon numaranızı TikTok'ta kaldırmak istiyorsanız bir sorununuz var. Hesabınızı oluştururken bir telefon numarası eklemek zorunlu olmasa da, bunu yaptıktan sonra kaldırmanın tek yolu desteğe başvurmaktır. Ahmed'in de belirttiği gibi, "bir kullanıcının hesabından numarasını çıkarmak için katlanması gereken büyük zorluk", TikTok'a numaranızı ilk etapta vermemenin bir başka nedeni.
Bir TikTok sözcüsü "Bir kullanıcı telefon numarasını hesabından kaldırmak isterse, bu değişikliğe yardımcı olmak için uygulama içinden destek ekibiyle iletişime geçebilirler" dedi. Kullanıcıların uygulamada bu değişiklikleri yapmasını kolaylaştırmanın yollarını keşfetmeye devam ediyoruz. "
Gizlilik ayarlarınız altında "hesabınızı başkalarına önerin" seçeneğinin işaretini kaldırarak TikTok'un viral genişlemesini devre dışı bırakabilirsiniz. Ancak numaranız profilinizde kalacak, sizi takip etmek için kullanılacak ve hesabınızda yaptığınız her şeye bağlı kalacaktır. Zorluklara rağmen, numaranızı çıkarmayı ciddi olarak düşünmelisiniz. Belki de birkaç yüz bin destek talebi, uygulamanın kendisinde bunu etkinleştirmek için çok ihtiyaç duyulan güncellemeyi hızlandıracaktır.
Bu arada, herhangi bir TikTok, Instagram veya Snapchat kullanıcısı, bu gizlilik etiketlerine bir göz atın ve paylaştığınız veriler hakkında biraz düşünün. Telefonunuzdaki tüm bu uygulamaların sizin hakkınızda her şeyi biliyor gibi görünmesinin nedeni budur, bu nedenle tüm bu reklamların kişiselleştirilmiş doğasına sürekli şaşırıyorsunuz, bu milyarlarca reklam gelirinin geldiği yer. Unutma, müşteri değilsin, ürün sensin.
Check Point raporuna göre, "TikTok'un geçmiş veri güvenliği sorunları nedeniyle" bu uyarıyı yayınladı. Güvenlik firması bu tür son tehdide ilişkin bir rapor yayınladı. Firma, sunucu tarafındaki bir güvenlik açığının, harici bir aktörün TikTok'un veritabanını sorgulamasına, özel bilgileri çekmesine, telefon numaralarını profillere bağlamasına olanak sağlayacağını söylüyor. Bu, daha sonra ünlüler için özel iletişim bilgilerini toplamak veya ölçeğe göre hedeflenebilecek bir kullanıcı veritabanı oluşturmak için kullanılabilirdi. Basitçe söylemek gerekirse, TikTok'a rastgele sayı listeleri atmak eşleşen profilleri döndürdü.
Check Point'in Oded Vanunu bana erişilebilir ayrıntıların "telefon numaralarını, takma adları, profil ve avatar resimlerini, benzersiz kullanıcı kimliklerini ve ayrıca bir kullanıcının takipçi olup olmadığı veya bir kullanıcının profilinin gizli olup olmadığı gibi belirli profil ayarlarını içerdiğini" söylüyor.
Telefon numaralarını sosyal medya profillerine bağlamak yeni değil - bu hafta bir Telegram botunun aynı şeyi yapmak için Facebook verilerini sızdıran sorgulamasıyla ilgili başka bir haber var . Ancak TikTok ile ilgili herhangi bir şey, geçen yılki ABD kampanyası göz önüne alındığında fazladan baharat içeriyor - bu, platformun ana şirketi ByteDance ve Çin eyaleti arasındaki bağlantıların ve kullanıcıların verilerinin Çin'e geri dönme riskiyle karşı karşıya olduğu iddia ediliyor.
Rapora yanıt veren TikTok, “TikTok topluluğunun güvenliği, mahremiyeti ve emniyeti en yüksek önceliklerimizdir. Kullanıcılar etkilenmeden önce bunları çözebilmemiz için Check Point'in olası sorunları belirleme çabalarını takdir ediyoruz. Bu tür saldırıları en aza indirmek için otomasyon savunmalarımızı güçlendirmeye yatırım yapmaya devam ediyoruz. "
Check Point'teki güvenlik ekibi, geçen yıl yaşanan öfke ile bu güvenlik açığını bulmaya yönlendirildiğini söylüyor. Şimdi, tıpkı Florida'da Trump çantalarını açarken, TikTok raporu da çıktı. Zamanlama herşeydir. Spesifik sorun, TikTok'un bir kullanıcının kişilerinin eşleştiği "arkadaş bulma" özelliği ile ilgilidir. Artık sunucu tarafında düzeltilmiştir. Kullanıcıların uygulamalarını, özellikle böylesine geniş bir saldırı yüzeyi sağlayan hiper ölçekli uygulamaları güncel tutmaları önerilir, ancak bu durumda düzeltme bir kullanıcı güncellemesi gerektirmez.
Check Point'in araştırmasının arkasındaki ayrıntılı teknik POC , raporunda paylaşıldı. Gerçekte, buradaki ayrıntılar daha geniş bir konudan daha az önemlidir - özel verileri sosyal medya uygulamalarıyla paylaşıyoruz ve bu verilerin korunmasını bekliyoruz. Ancak, bu uygulamaların viral erişimini genişleten veya bunlara harcanan saatlerimizi artıran yeni özelliklerin yayılması, kötüye kullanılabilecek zayıflıkları beraberinde getiriyor. TikTok bu konuda yalnız değil daha önce yalanlanmış olsa da. Sadece Facebook'un veri sorunlarına bakın.
Vanunu, "Genel olarak, bu güvenlik açıkları birçok dijital platformda mevcut olabilir, ancak TikTok'un kurulum tabanıyla, sonuçları yüksek. Siber uzayda kaliteli veri yarışı var, TikTok'un veritabanını sorgulayabilmek, kötü aktörler için büyük bir ipucu, uygulama korumalarını atlamalarına ve kullanıcıların veri gölünü sorgulamalarına olanak tanıyor." diyor.
Trump'ın TikTok'a karşı yürüttüğü kampanya sırasında, platformun birincil savunması, diğer sosyal medya platformlarından, özellikle de Facebook'tan farklı olmamasıydı (yani daha kötüsü değildi). Ancak, doğru veya yanlış olarak, TikTok'un Çin mülkiyeti çıtayı yükseltmiştir.
Bununla birlikte, burada ciddi bir ironi var. Apple'ın gizlilik etiketleri sayesinde, TikTok ile iki ana rakibini karşılaştırabiliriz - Facebook'un Instagram'ı ve Snapchat. Ve bir bükülme var. TikTok, kesin konumları yakalamadığı için Snapchat ile genel olarak karşılaştırılabilir, belki biraz daha iyi . Ancak, veri makinesinin tam ölçeğinde gerçek bir şok yaratan yine Facebook'tur — Instagram kullanıcıları dikkatli olun.
Buradaki asıl endişe, kullanıcı telefon numaralarını içermesidir. Birden fazla e-posta adresi kullanabilir, sizi sızıntılardan ve kimlik avından korumak için e-posta takma adlarını kolayca ayarlayabilirsiniz. Ancak çoğumuzun tek bir cep telefonu numarası var ve bu son derece güçlü bir veri alanı. Mesajlaşma dünyasında, Signal ve Telegram gibi kişilerin bile bir telefon numarası etrafında optimize edildiği eleştirisi var - ama bir mesajcıyla en azından bazı gerekçeleri var - bu bir iletişim aracı, onu mesajlaşmak ve aramak için kullanıyorsunuz.
Mesajlaşma uygulamalarıyla ilgili son zamanlardaki tüm öfkeye rağmen - WhatsApp'a karşı Signal ve Telegram, Facebook Messenger'ın diğerlerine kıyasla zayıf gizlilik etiketi - bu mesajlaşma uygulamalarının hiçbiri, "diğer şirketler tarafından kullanılan uygulamalar ve web siteleri genelinde" kullanıcıları izlemek için veri kullanmıyor. Elma. Ancak TikTok ve rakipleri tam olarak bunu yapıyor.
TikTok, Instagram ve Snapchat gibi medya paylaşım uygulamaları, profilinizi tanıdığınız kişilere bağlamak için numaranızı kullanır - takip etmenizi öneren hesaplar önererek viral çekiciliğini arttırır. Telefonunuzda yeni bir hesap kurmanın en kolay yolu numaranızdır bunun size ait olduğunu doğrulamak için bir SMS kodu alacaksınız. Ardından, platformun bu verileri kişilerinizle eşleşecek şekilde kullanmasına izin vermeniz önerilir.
Kulağa ne kadar eğlenceli gelse de, size zarar verebilecek verilere sahip bu platformlara güveniyorsunuz. Telefon numaranızı kullanan siber saldırılar, e-posta eşdeğerlerinden çok daha tehlikelidir, size kötü amaçlı bağlantılar veya görüntüler veya indirmeler gönderir. Bu rakamlar aynı zamanda şu anda gördüğümüz mesajlaşma hesap hırsızlığı belasını da tetikliyor. Bir saldırgan bu numaraları diğer profil ayrıntılarıyla eşleştirebilirse, bu güçlü bir saldırı veritabanıdır.
Ahmed, "Arkadaşlarınızı bulmayı hızlandırmak için TikTok'a, Instagram'a veya herhangi bir sosyal medya platformuna numaranızı vermeye değmez," diyor, "büyük olasılıkla mahremiyetinizin ciddi şekilde ihlal edilmesi için kısa vadeli kolaylık takas edeceksiniz."
Bir e-posta adresi kullanarak ve olumsuz tarafın avantajlardan daha ağır bastığı "arkadaşlarınızı bulma" özelliklerinden kaçınarak daha güvendesiniz. Instagram'da numaranızı çevrimiçi olarak veya uygulama üzerinden kaldırabilir ve bunun yerine bir e-posta adresi kullanabilirsiniz. Yine de iki faktörlü kimlik doğrulama için SMS kullanabilirsiniz - geçmişte Facebook reklam için 2FA telefon numaralarını kullanıyordu, ancak FTC bunu durdurmaya zorladı.
Telefon numaranızı Snapchat'ta kaldırmak biraz daha zordur, ancak yine de yalnızca birkaç dakika sürer. Giriş yapabilmek için ana hesabınızın bir e-posta adresi olduğundan emin olun, ardından tanımlayıcı olarak telefon numaranızla yeni bir hesap oluşturun. Metin doğrulamasını girin ve numara geçiş yapacaktır. Telefon numaranızın gerçek hesabınızdan kaldırıldığını kontrol ettikten sonra yenisini göz ardı edebilirsiniz. Birincil hesabınızdaki telefon numarası alanında büyük olasılıkla kırmızı bir ünlem işareti olacaktır - tabii ki burada telefon numaranızı yeniden doğrulamayın!
Ancak telefon numaranızı TikTok'ta kaldırmak istiyorsanız bir sorununuz var. Hesabınızı oluştururken bir telefon numarası eklemek zorunlu olmasa da, bunu yaptıktan sonra kaldırmanın tek yolu desteğe başvurmaktır. Ahmed'in de belirttiği gibi, "bir kullanıcının hesabından numarasını çıkarmak için katlanması gereken büyük zorluk", TikTok'a numaranızı ilk etapta vermemenin bir başka nedeni.
Bir TikTok sözcüsü "Bir kullanıcı telefon numarasını hesabından kaldırmak isterse, bu değişikliğe yardımcı olmak için uygulama içinden destek ekibiyle iletişime geçebilirler" dedi. Kullanıcıların uygulamada bu değişiklikleri yapmasını kolaylaştırmanın yollarını keşfetmeye devam ediyoruz. "
Gerçekten - kesinlikle öyle olmasını umarız.
Gizlilik ayarlarınız altında "hesabınızı başkalarına önerin" seçeneğinin işaretini kaldırarak TikTok'un viral genişlemesini devre dışı bırakabilirsiniz. Ancak numaranız profilinizde kalacak, sizi takip etmek için kullanılacak ve hesabınızda yaptığınız her şeye bağlı kalacaktır. Zorluklara rağmen, numaranızı çıkarmayı ciddi olarak düşünmelisiniz. Belki de birkaç yüz bin destek talebi, uygulamanın kendisinde bunu etkinleştirmek için çok ihtiyaç duyulan güncellemeyi hızlandıracaktır.
Bu arada, herhangi bir TikTok, Instagram veya Snapchat kullanıcısı, bu gizlilik etiketlerine bir göz atın ve paylaştığınız veriler hakkında biraz düşünün. Telefonunuzdaki tüm bu uygulamaların sizin hakkınızda her şeyi biliyor gibi görünmesinin nedeni budur, bu nedenle tüm bu reklamların kişiselleştirilmiş doğasına sürekli şaşırıyorsunuz, bu milyarlarca reklam gelirinin geldiği yer. Unutma, müşteri değilsin, ürün sensin.