Bufera su TikTok: dopo la stretta del Garante, la scoperta di una grave vulnerabilità di sicurezza

Nei giorni scorsi il Garante per la protezione dei dati personali italiano ha disposto il blocco del social network TikTok, ampiamente utilizzato anche nel nostro Paese soprattutto da una platea giovanile.
Come spiegato in questa nota l’Autorità ha contestato a TikTok la scarsa attenzione rispetto alla tutela dei minori, la facilità con la quale è aggirabile il divieto di iscriversi per i minori sotto i 13 anni (previsto dalla stessa piattaforma), la poca trasparenza e chiarezza nelle informazioni rese agli utenti, l’uso di impostazioni predefinite non rispettose della privacy.

Almeno fino al prossimo 15 febbraio il Garante ha vietato a TikTok ogni ulteriore trattamento dei dati degli utenti che si trovano sul territorio italiano per i quali non vi sia assoluta certezza dell’età e, conseguentemente, del rispetto delle disposizioni collegate al requisito anagrafico.
Di fatto l’utilizzo di TikTok non viene bloccato in toto: vengono richiesti alla società sviluppatrice, la cinese ByteDance, una serie di chiarimenti e di documentazioni. Nel frattempo è compito di TikTok dare esecuzione selettiva al provvedimento del Garante acquisendo in modo valido il consenso degli utenti e concludendo contratti egualmente ammissibili.

La bufera non accenna a placarsi perché proprio in queste ore gli esperti di Check Point hanno comunicato di aver scoperto una grave vulnerabilità che se non corretta avrebbe potuto esporre pubblicamente i dati di qualunque utente iscritto a TikTok, minori compresi.

Diciamo subito che il problema di sicurezza in TikTok è stato risolto dagli sviluppatori ma il bug segnalato privatamente da Check Point fa capire quanto l’utilizzo di queste applicazioni, soprattutto se messe nelle mani dei minori, debba essere fatto con estrema cautela.

La vulnerabilità scoperta dai ricercatori di Check Point riguardava la funzionalità “Cerca amici“: sfruttandola un eventuale aggressore avrebbe potuto superare le protezioni imposte da TikTok e accedere ad informazioni private degli utenti come ID, numeri di telefono e altro ancora, ad esempio tutti i dati inseriti nei profili nascosti.

Le informazioni così rastrellate avrebbero potuto essere utilizzate per condurre attacchi di vario genere (anche del tipo spear phishing).

Confermando il problema e l’avvenuta risoluzione, TikTok ha comunque invitato gli utenti a condividere sempre il minimo indispensabile quando si tratta di dati personali.
“La sicurezza e la privacy della comunità di TikTok è la nostra massima priorità. Apprezziamo il lavoro di partner fidati come Check Point nell’identificare potenziali problemi in modo da poterli risolvere prima che colpiscano gli utenti“, si legge in una nota.

A gennaio 2020 TikTok ha dovuto correggere altre vulnerabilità identificate da Check Point: permettevano agli aggressori di modificare la configurazione degli account, manipolare i video degli utenti e rubare informazioni personali (TikTok, scoperte vulnerabilità nell’app del momento).
A novembre scorso sono stati risolti due ulteriori bug che avrebbero potuto permettere agli aggressori di prendere il controllo degli account degli utenti che si erano iscritti tramite app di terze parti con un solo clic.