Um novo agente de ameaça, sob o pseudónimo "Often9", agitou a comunidade de cibersegurança ao anunciar num proeminente fórum de cibercrime a posse de uns impressionantes 428 milhões de registos únicos de utilizadores da popular plataforma TikTok. A publicação, datada de 29 de maio de 2025, intitula-se "TikTok 2025 Breach – 428M Unique Lines", sugerindo uma falha de segurança recente e de grande escala.
Que informações estão alegadamente em jogo?
Segundo o "Often9", o conjunto de dados à venda inclui uma vasta gama de informações pessoais e de perfil. Entre os dados alegadamente comprometidos encontram-se:
- Endereços de email
- Números de telemóvel
- Biografias, URLs de avatares e links de perfis
- IDs de utilizador do TikTok, nomes de utilizador e alcunhas (nicknames)
- Indicadores de conta, como
private_account(conta privada),secret(secreta),verified(verificada) e estadottSeller(vendedor TikTok) - Métricas publicamente visíveis, como contagem de seguidores, contas seguidas, gostos, número de vídeos, contagem de "diggs" e número de amigos.
A potencial inclusão de campos não públicos, como endereços de email, números de telemóvel e indicadores internos da conta, é particularmente preocupante. Se estes detalhes forem confirmados pelo TikTok como precisos e recentes, tal sugere um acesso a sistemas internos da plataforma ou a uma base de dados de terceiros que estaria exposta. A simples recolha de dados (scraping) a partir do site público ou da aplicação móvel do TikTok não permitiria obter esta informação mais sensível.
A explicação do hacker para a alegada falha
Questionado no fórum sobre o método de extração dos dados – se se tratava de mero scraping ou algo mais sofisticado – "Often9" ofereceu uma explicação. O hacker alega que, embora o TikTok normalmente não disponibilize uma API pública para aceder a dados privados como emails ou números de telemóvel, foi descoberta uma vulnerabilidade numa das suas APIs internas.
"Descobrimos e abusámos dessa API antes de ser corrigida, o que nos permitiu recolher este conjunto de dados", afirmou "Often9". Acrescentou ainda: "Tecnicamente, sim, parece scraping, mas foi feito através de um endpoint explorável, não de uma simples recolha pública. Resumindo: foi 'raspado' via API, mas como aproveitou uma falha para aceder a dados que não deveriam ser públicos, é uma violação."
Essencialmente, o hacker admite ter utilizado uma falha de segurança numa ferramenta interna do TikTok para extrair informações que, de outra forma, estariam protegidas.
Para tentar conferir credibilidade à sua alegação, o "Often9" mostrou-se disposto a utilizar um intermediário (middleman) para a transação, uma prática comum em fóruns de cibercrime para vendas de grandes volumes de dados, de forma a construir confiança com potenciais compradores.
Sinais de alerta: Por que devemos encarar esta alegação com ceticismo
Apesar da alegação bombástica, existem vários fatores que levantam sérias dúvidas sobre a sua veracidade. É crucial analisar estes pontos antes de tirar conclusões precipitadas:
- Amostra de dados pouco convincente: Um número significativo de entradas na amostra fornecida pelo hacker apresenta campos de email e telemóvel vazios ou com dados genéricos. Isto levanta a hipótese de o conjunto de dados ter sido compilado a partir de perfis públicos obtidos por scraping e complementado com dados de fugas antigas ou pura especulação.
- Reputação do vendedor: "Often9" é uma conta recém-criada no fórum, com apenas alguns dias de existência e sem qualquer reputação, positiva ou negativa. No mundo do cibercrime, a reputação é um ativo valioso; vendedores de grandes bases de dados geralmente possuem um histórico verificado de anos ou vendas bem-sucedidas anteriores.
- Histórico do fórum: O próprio fórum onde a alegação foi feita tem um historial recente de alegações de fugas de dados inflacionadas ou falsas. Notavelmente, na semana passada, a mesma plataforma foi usada para promover uma suposta venda de dados de "1,2 mil milhões de utilizadores do Facebook", que mais tarde se revelou falsa numa investigação exclusiva do Hackread.com, levando ao banimento do vendedor.
- Dados publicamente acessíveis: Uma análise mais atenta aos dados de amostra revela que muitos campos, como IDs de utilizador, nomes de utilizador, links de perfil e métricas de seguidores, são publicamente acessíveis e poderiam ser obtidos através de operações de scraping em larga escala. Embora o scraping massivo possa representar riscos (como campanhas de phishing ou spam), não equivale a uma violação de sistemas internos.
O Hackread.com também cruzou os endereços de email da amostra com os registos do site HaveIBeenPwned, e a maioria foi encontrada em menos de duas fugas de dados anteriores. Embora este facto possa, à primeira vista, conferir alguma legitimidade à singularidade dos dados, uma amostra de 1.200 linhas de uma suposta fuga de 428 milhões de registos é manifestamente insuficiente para estabelecer a sua autenticidade de forma conclusiva.
Contexto e a resposta do TikTok
Esta não é a primeira vez que surgem alegações de fugas de dados massivas relacionadas com o TikTok. Em setembro de 2022, um hacker afirmou ter obtido 2 mil milhões de registos do TikTok, incluindo estatísticas internas, código-fonte e 790 GB de dados de utilizadores, uma alegação que foi posteriormente negada pela empresa.
De momento, esta nova reivindicação deve ser tratada com extrema cautela. Por mais apelativos que os números possam parecer, vendedores sem reputação em fóruns de cibercrime frequentemente exageram ou fabricam alegações para obter lucro rápido ou simplesmente para atrair atenção.
O Hackread.com contactou o TikTok, que confirmou estar a investigar a alegada violação de segurança. Resta aguardar por mais desenvolvimentos e uma confirmação oficial por parte da plataforma de vídeos curtos.
Nenhum comentário
Seja o primeiro!