TikTok é investigado por Risco de Privacidade e pode ser proibido em vários países

TikTok é investigado por Risco de Privacidade e pode ser proibido em vários países. TikTok pode ser considerado risco á segurança nacional nos EUA.

Como o TikTok, baixado 165 milhões de vezes, é criado por desenvolvedores na China, isso tem sido visto como uma potencial preocupação de segurança por certas autoridades dos EUA, na medida em que informações de funcionários do governo que já têm ou podem ter autorização para acessar informações confidenciais podem ser divulgadas ou comprometidas. Membros da comunidade de segurança cibernética dizem que a realidade é mais complexa, pois o perigo é atualmente amplamente hipotético ou indireto devido ao uso de dados de localização, imagem, dados biométricos e histórico de mecanismos de pesquisa.

O aplicativo de vídeo em formato curto TikTok se tornou rapidamente uma parte essencial da cultura popular nos EUA, servindo como uma plataforma para memes virais, além de sátira política e ativismo . O Facebook, a força dominante nas mídias sociais, tentou copiar o aplicativo, mas até agora isso não diminuiu seu rápido crescimento.

Mas agora o TikTok enfrenta a ameaça mais direta à sua expansão nos EUA – não de um concorrente, mas do governo dos EUA. O presidente Donald Trump disse na terça-feira que seu governo está “analisando” a proibição do aplicativo, de propriedade da empresa chinesa ByteDance.

Com mais de um bilhão de downloads, o TikTok (anteriormente conhecido como Musical.ly) se tornou uma das plataformas de mídia social mais atraentes da cultura popular. Como a popularidade está se expandindo globalmente, é inevitável que os governos analisem o aplicativo. Como muitos deles, o TikTok também está sendo investigado, pois as principais preocupações com segurança de dados e investimentos estrangeiros foram surgidas em diferentes jurisdições, desde que essas duas se enquadram nas leis e políticas de segurança nacional.

É apenas o exemplo mais recente e mais destacado de Washington levantando alarmes sobre o aplicativo popular entre usuários mais jovens nos EUA, onde o TikTok foi baixado 165 milhões de vezes . Outros críticos importantes destacaram o TikTok como uma ameaça potencial de espionagem. No ano passado, o líder da minoria do Senado, Chuck Schumer, e o senador republicano do Arkansas, Tom Cotton, pediram que a comunidade de inteligência avaliasse o risco que o TikTok pode representar para a segurança nacional.

“membros da comunidade de segurança cibernética dizem que a realidade é mais complexa. “

A TikTok refutou as alegações, chamando-as de “infundadas“. Para enfatizar sua independência da China, a TikTok citou seu CEO americano recentemente contratado e disse que “nunca forneceu dados do usuário ao governo chinês, nem o faríamos se solicitado“.

Os EUA não estão sozinhos na tentativa de reprimir o TikTok. A Índia disse que proibiria o TikTok e outros aplicativos chineses após um confronto sangrento na fronteira entre soldados indianos e chines

Embora líderes como Pompeo tenham descrito o TikTok como um perigo claro e presente, muitos membros da comunidade de segurança cibernética dizem que a realidade é mais complexa. Embora o TikTok possa se tornar uma ameaça clara à segurança dos EUA em certos cenários, eles dizem que o perigo é atualmente amplamente hipotético ou indireto. Alguns analistas também dizem que o assunto é complicado pela abordagem agressiva de Trump à China em geral – argumentando que a situação é um reflexo das prioridades políticas do governo. Especialistas levantaram preocupações semelhantes sobre a abordagem de Trump à Huawei, gigante chinesa da tecnologia, dizendo que Trump confundiu inadequadamente a segurança nacional com as negociações comerciais.

O governo Trump adotou quase como uma abordagem simples para lidar com essas questões, porque parece que assim que uma empresa chinesa é notícia, de repente, isso se torna o novo alvo“, disse Justin Sherman , um membro da Iniciativa Cyber ​​Statecraft no Atlantic Council. “Parece muito improvável que haja uma reflexão sobre a estratégia de longo prazo, e muito mais provável que o foco esteja nesse ataque de motivação política a um aplicativo porque é um aplicativo de propriedade chinesa, mesmo que haja questões reais de segurança.”

 

Perspectiva dos EUA: grande ameaça à segurança nacional

É sabido que uma guerra econômica entre a República Popular da China (“China”) e os Estados Unidos da América (“EUA”) passa o tempo em diferentes assuntos, como sanções do governo ou regulamentos de exportação. Como o TikTok é criado por desenvolvedores na China, isso tem sido visto como uma potencial preocupação de segurança por certas autoridades dos EUA, na medida em que informações de funcionários do governo que já têm ou podem ter autorização para acessar informações confidenciais podem ser divulgadas ou comprometidas.

Como a coleta de dados relacionados a esses indivíduos específicos e suas atividades diárias, como dados de localização ou histórico de mecanismos de pesquisa, possui certos riscos devido à possibilidade de informações relacionadas à segurança nacional serem divulgadas ou usadas para chantagear esses indivíduos; O Departamento de Defesa dos EUA, juntamente com a Marinha e o Exército dos EUA, instou seus funcionários a abster-se de baixar ou usar o aplicativo. Além disso, em 12 de março de 2020, o senador Josh Hawley apresentou ao Senado um projeto de lei intitulado “No TikTok on Government Devices Act”, declarando que o TikTok deveria ser banido para uso e downloads em dispositivos móveis emitidos pelo governo. Além disso, a lei define o TikTok como uma ameaça à segurança nacional para pessoas dos EUA que atualmente não estão trabalhando como funcionários do governo.

Além dos riscos de segurança nacional decorrentes da coleta de dados, o Comitê de Investimentos Estrangeiros nos Estados Unidos (“CFIUS”) abriu uma investigação sobre o TikTok porque a empresa controladora do TikTok, ByteDance, não solicitou explicitamente autorização do CFIUS em seu aquisição do aplicativo americano similar Musical.ly em 2018. Essa situação pode resultar potencialmente na ByteDance para cancelar a fusão do Musical.ly (atualmente TikTok) inteiramente.

As autoridades dos EUA supostamente abriram uma investigação adicional sobre o TikTok devido aos requisitos legais aos quais a ByteDance, empresa controladora chinesa está sujeita. Tais requisitos legais forçam a ByteDance a cooperar com o governo chinês em operações de inteligência que podem resultar na transferência de localização, imagem e dados biométricos conforme a Lei Nacional de Inteligência da China. Embora o TikTok tenha publicado uma declaração em 5 de novembro de 2019 indicando que os dados dos cidadãos dos EUA são gerenciados por funcionários dos EUA e não estão sujeitos às regulamentações da China, as principais preocupações com a segurança nacional ainda precisam ser atenuadas.

O presidente Donald Trump disse que seu governo está considerando proibir o aplicativo de vídeo curto TikTok nos EUA como uma maneira possível de retaliar a China por causa do manuseio do coronavírus. Os comentários de Trump vieram um dia depois que o secretário de Estado Michael Pompeo disse que as autoridades estavam tentando barrar o aplicativo. ‘É algo que estamos vendo, sim“, disse Trump quando questionado em uma entrevista com Greta Van Susteren, da Gray Television, sobre os comentários anteriores de Pompeo. “É um grande negócio. Veja, o que aconteceu com a China com esse vírus, o que eles fizeram neste país e no mundo inteiro é vergonhoso.

 

 

EDPB of EU to Establish a Taskforce

Em 10 de junho de 2020, o Conselho Europeu de Proteção de Dados (“EDPB”) anunciou que decidiu estabelecer uma força-tarefa para ” coordenar ações em potencial e adquirir uma visão mais abrangente dos processos e práticas do TikTok em toda a UE ” durante sua 31ª sessão plenária. Antes da decisão da EDPB, a Autoridade Holandesa de Proteção de Dados já havia anunciado que deveria investigar a TikTok no que diz respeito ao processamento de dados pessoais dos menores em 8 de maio de 2020.

Transferência de dados pessoais para países terceiros

Devido aos requisitos legais aos quais a TikTok está sujeita, pode transferir todos os dados pessoais processados ​​por meio desse aplicativo para o exterior. Nos termos do Regulamento Geral de Proteção de Dados (UE) (2016/679) (“RGPD”), os dados pessoais só podem ser transferidos para países terceiros ou organizações internacionais a partir de um controlador de dados sob a jurisdição da União Europeia (“UE ”) / Espaço Econômico Europeu (“ EEE ”) se for fornecido um nível adequado de proteção aos direitos dos titulares de dados.

No caso de tais requisitos legais obrigarem os dados coletados por meio desse aplicativo a serem apresentados às intuições públicas na China, haverá uma transferência e processamento de dados por essas intuições públicas, sem as informações necessárias a serem fornecidas aos titulares de dados a esse respeito, conforme artigos 13 e 14.

O processamento de dados de menores

As crianças precisam de proteção mais específica e complexa quando seus dados pessoais estão sendo coletados e processados, uma vez que estão menos conscientes dos riscos envolvidos nesse processamento. Embora o TikTok, como a maioria das plataformas de mídia social, exija que o usuário aceite termos e condições, indicando que está cumprindo as limitações de idade nacional no contexto de poder legalmente consentir, não está claro se a imposição desses termos e condições a usuários sem nenhuma outra salvaguarda adequada cobrem os princípios de proteção de dados por padrão e design sob da GDPR.

Em 2019, a TikTok concordou com a Federal Trade Commission dos EUA para pagar uma multa devido a alegações de coleta ilegal de dados de menores de acordo com a Lei de Proteção à Privacidade Online das Crianças e pela incapacidade de buscar o consentimento dos pais antes de coletar dados pessoais, como nomes e endereços de e-mail dos usuários com menos de 13 anos. Além disso, o Gabinete do Comissário da Informação também iniciou uma investigação a esse respeito contra a TikTok. Esse histórico resultou no TikTok introduzir o ‘portão da idade’ (age-gate) e remover dados pessoais ilegais de sua plataforma; no entanto, ainda existem preocupações com a segurança dos dados nos problemas mencionados acima.

 

Falhas de segurança

Um relatório técnico alarmante sobre o TikTok deste ano apenas aumentou as preocupações com sua segurança, embora especialistas digam que há uma distinção importante entre identificar falhas de segurança individuais e rotular algo como uma ameaça à segurança nacional.
Em janeiro, uma equipe de pesquisadores de segurança da Check Point anunciou que havia encontrado várias vulnerabilidades no TikTok. As falhas, se deixadas sem correção, podem permitir que os invasores obtenham o controle das contas do TikTok, alterem as configurações de privacidade dos vídeos do TikTok, carreguem vídeos sem permissão e obtenham dados do usuário, como endereços de email. O TikTok disse que corrigiu as vulnerabilidades que lhe permitiam enviar links maliciosos aos usuários, exibir dados confidenciais da conta e excluir ou adicionar conteúdo à conta do usuário .
 
A descoberta levantou questões importantes sobre a capacidade do TikTok de proteger a privacidade do usuário. Mas os engenheiros da empresa pareciam operar de boa fé, de acordo com Oded Vanunu, especialista em segurança da Check Point Research, que liderou o grupo de pesquisadores que anunciou as descobertas. O TikTok, disse ele, parecia motivado a consertar as falhas. “a nossa perspectiva, eles ficaram muito felizes em receber esse tipo de informação e em cooperar“.

Questionado se as vulnerabilidades que ele encontrou podem dar credibilidade às alegações de que o TikTok não é confiável, Vanunu disse que as falhas de segurança são algo que todas as empresas de software enfrentam, mesmo as grandes . A diferença, disse ele, é que a TikTok é uma empresa relativamente jovem e inexperiente.

O TikTok está comprometido em proteger os dados do usuário“, afirmou o TikTok em comunicado no momento da divulgação. “Como muitas organizações, incentivamos pesquisadores de segurança responsáveis ​​a divulgar em particular as vulnerabilidades de dia zero para nós“.

Outro aspecto é que a vulnerabilidade do TikTok surge do uso de redes CDN não seguras para entregar conteúdo em todo o mundo. Devido à natureza do conteúdo e à necessidade de melhorar o desempenho, as CDNs do TikTok transferem dados em formato não criptografado sobre HTTP inseguro. O uso de HTTP não seguro permite que hackers detectem tráfego e visualizem os dados do usuário da solicitação. Segundo os desenvolvedores, qualquer roteador entre o aplicativo TikTok e as CDNs do TikTok pode visualizar facilmente o histórico de exibição do usuário. Terceiros, como provedores de serviços de Internet, agências inteligentes e operadores de Wi-Fi público, também podem acessar essas informações facilmente. A natureza do conteúdo transferido pelo TikTok, como fotos e vídeos, é altamente vulnerável a ataques do MitM. Isso facilita para os hackers trocar vídeos com vídeos falsos para promover golpes, desinformação ou ódio.

Para proteger aplicativos contra ataques do MitM, a Apple e o Google criaram novas diretrizes que exigem que todos os aplicativos usem HTTPS criptografados. As duas empresas, no entanto, ainda permitem o uso de HTTP para compatibilidade com versões anteriores. Apesar dos problemas conhecidos com o HTTP não seguro, o TikTok para iOS (versão 15.5.6) e o TikTok para Android (versão 15.7.4) usam exclusivamente HTTP não seguro para comunicação.

 

Empresas proibem TikTok

O Wells Fargo, o quarto maior banco dos EUA, instruiu os funcionários a remover o aplicativo de mídia social TikTok de seus dispositivos emitidos pela empresa, citando preocupações de segurança.

A decisão do banco de proibir o aplicativo em dispositivos corporativos ocorre depois que a Amazon enviou sinais contraditórios aos funcionários na sexta-feira sobre se eles deveriam remover o TikTok de seus dispositivos emitidos pela empresa, segundo o New York Times . A gigante do varejo online disse mais tarde que um memorando pedindo aos funcionários para remover o aplicativo foi enviado por engano, disse um porta-voz da Amazon ao Information Security Media Group.

Um porta-voz da Wells Fargo confirmou à ISMG que havia pedido aos funcionários que removessem o TikTok de dispositivos emitidos pela empresa, como smartphones, no início deste mês. “Identificamos um pequeno número de funcionários da Wells Fargo com dispositivos de propriedade corporativa que instalaram o aplicativo TikTok em seus dispositivos“, diz o porta-voz da Wells Fargo. “Devido a preocupações com os controles e práticas de privacidade e segurança da TikTok, e como os dispositivos de propriedade da empresa devem ser usados ​​apenas para negócios da empresa, orientamos esses funcionários a remover o aplicativo de seus dispositivos“.

À luz das preocupações do governo, mais empresas emitem avisos aos funcionários sobre possíveis ameaças à segurança cibernética representadas pelo TikTok, mesmo que detalhes sobre os supostos riscos sejam “nublados”, diz Chris Pierson, CEO e fundador da empresa de segurança cibernética BlackCloak.

As empresas têm a obrigação de controlar e controlar as posturas de risco de todos os dispositivos de propriedade da empresa“, diz Pierson à ISMG. “Isso pode se estender para dispositivos BYOD em breve também para algumas indústrias altamente regulamentadas. A vida pessoal e profissional dos trabalhadores dos EUA nunca foram tão entrelaçadas, especialmente com o COVID-19, e isso só aumentará devido à nova normalidade do trabalho remoto.

Mike Hamilton, CISO da empresa de segurança CI Security, diz que aplicativos gratuitos de mídia social como o TikTok não representam uma ameaça para agências governamentais ou empresas privadas por conta própria. O maior problema é resolver a propriedade corporativa do aplicativo e o que vincula uma empresa ao governo da China ou outro governo.

O problema surge quando essa plataforma de mídia social específica tem o apoio, se não a cooperação aberta, com o governo chinês“, disse Hamilton ao ISMG. “Se os dados coletados são usados ​​para a segmentação de anúncios, isso é uma coisa. Se os dados são usados ​​para entender associações entre indivíduos – de modo que o caminho mais curto para um ativo de inteligência através de um influenciador que possa ser identificado – os dados se tornam uma ferramenta para espionagem .

 

Fonte: CNN & ISMG & Lexology & CPO Magazine & Bloomberg

 

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. TikTok é investigado por Risco de Privacidade e pode ser proibido em vários países

Deixe sua opinião!