Burduja nu-și închide momentan contul de TikTok și lasă loc de excepții: Instituțiile statului trebuie să comunice, iar acolo este publicul
Ministrul Digitalizării, Sebastian Burduja, nu are de gând să-și închidă momentan contul de TikTok, care e administrat de un coleg din echipă, de pe telefonul personal, deși susține că SRI a identificat riscuri serioase de securitate și s-a emis o recomandare oficială de interzicere a utilizării aplicației pe dispozitivele instituțiilor publice.
- „Ieri DNSC a emis această recomandare în vederea interzicerii. Este o recomandare nu este o decizie, deci rămâne la latitudinea fiecărei instituții publice să o pună în aplicare sau nu. Dacă nu o pun în practică, sigur că își asumă și riscurile aferente.
- Noi la nivelul Consiliului Operativ de Securitate Cibernetică (COSC) întrunit săptămâna aceasta am identificat riscuri de securitate pe baza unui raport pregătit de CyberInt. Ceilalți actori din COSC și-au asumat că într-o săptămână, 10 zile vin cu eventuale completări la această analiză și ne vom pune problema oportunității unei decizii în acest sens.
- La acest moment discutăm de o recomandare. Vom vedea daca va exista o interdicție obligatorie sau rămânem la stadiul de recomandare.”, a declarat vineri ministrul Burduja.
Ministrul susține că a aflat despre pericolele TikTok „înainte de reuniunea COSC pe baza raportului (n.a realizat de CyberInt a SRI)”.
Întrebat de HotNews.ro dacă nu este o ipocrizie să recomande românilor să nu mai folosească această aplicație în condițiile în care și el are cont oficial de TikTok, ministrul a spus că se ocupă altcineva de acest cont.
- „E un coleg din echipa mea care gestionează contul de TikTok de pe un dispozitiv personal care nu include alte date potențial sensibile.
- Eu personal nu am această aplicație și nu o să mi-o instalez.”, a spus ministrul.
Întrebat mai departe dacă își va închide acest cont, ministrul a spus că așteaptă analiza finală din COSC.
- „Vedem în funcție de ce reiese din analiza COSC. (..) Pe baza datelor MAI, STS și alte instituții vom lua o decizie. Eu consider că riscurile identificate sunt serioase.”, a spus acesta.
Întrebat despre folosirea TikTok și a rețelelor sociale de pe telefoanele și dispozitivele de serviciu, ministrul a relatat experiența sa ca expert la Banca Mondială și a lăsat de înțeles că ar trebui să existe anumite excepții dacă se decide interzicerea accesului.
- „Eu nu am telefon de serviciu din partea Ministerului și atunci când lucram la Banca Mondială ca expert nu puteam să accesez de pe calculatorul de serviciu nicio rețea socială. Nu e doar un risc de securitate, este și o pierdere de timp.
- Fiecare instituție și acum poate decide la nivelul direcțiiilor de IT să interzică acest acces. Noi nu am făcut-o încă, dar este o posibilitate.
- Cu anumite excepții. Direcția de comunicare, spre exemplu, ar putea avea acces pentru că sunt platforme pe care și instituțiile statului trebuie să comunice, iar acolo este publicul. Deci în niște parametri bine definiți, pot fi făcute niște excepții.”, a mai spus ministrul Digitalizării.
Directoratul Național de Securitate Cibernetică recomandă interzicerea TikTok pe dispozitivele instituțiilor publice
Directoratul Național de Securitate Cibernetică (DNSC) a făcut joi recomandări în vederea interzicerii descărcării, instalării și utilizării aplicației software TikTok pe sistemele informatice de serviciu ale autorităților și instituțiilor publice din România.
DNSC susține că a identificat „o serie de riscuri de securitate cibernetică inacceptabile cauzate de descărcarea, instalarea sau utilizarea aplicației software TikTok și a serviciului de rețele de socializare TikTok pe sistemele informatice de serviciu ale autorităților și instituțiilor publice din România”.
Colectează o cantitate excesivă de date
Acestea pot servi la direcționarea precisă a atacurilor cibernetice asupra utilizatorilor (de exemplu, prin spearphishing) crescând astfel semnificativ riscul de succes al acestor acțiuni. Datele colectate de TikTok se încadrează în trei categorii:
Informațiile pe care utilizatorul alege să le furnizeze:
- informații de profil: data nașterii, numele de utilizator, adresa de e-mail și/sau numărul de telefon si parola, date completate în biografie, fotografie de profil
- conținut creat sau publicat prin TikTok: fotografii, videoclipuri, înregistrări audio, fluxuri live și comentarii, precum și metadatele asociate
- conținutul mesajelor și metadatele asociate
- contactele din telefon si contactele media
- date privind calendarul (ca urmare a accesului persistent la calendar, inclusiv la modificarea acestuia)
- informații privind cardurile bancare și plățile realizate, tranzacții și istoric plăți
- date din clipboard-ul dispozitivului, inclusiv text, imagini, video
- folosirea (opțională) de către utilizator a unui browser nativ TikTok care permite urmărirea unor acțiuni ale utilizatorului ce implica tastatura
Informații pe care TikTok le colectează din alte surse:
- identificatori pentru publicitate, adrese de e-mail
- informații despre acțiuni întreprinse în afara platformei TikTok
- informații colectate de pe site-uri ale partenerilor TikTok
- Informații din postările realizate de alți utilizatori, în care utilizatorul este inclus sau menționat
Informații pe care TikTok le accesează și poate să le colecteze automat:
- modelul dispozitivului, sistemul de operare, adresa IP
- tiparul sau ritmurile de apăsare a tastelor
- date privind conexiunea la Internet
- rapoarte / loguri de performanță sau de eroare
- locația aproximativă a dispozitivului pe baza indicatorilor oferiți de cartela SIM și adresa IP
- conținut urmărit/vizionat/accesat de utilizator, durata și frecvența utilizării
- relația cu ceilalți utilizatori, istoric căutare
- cookies și informații de tracking
Cu cine împarte informațiile ByteDance
Conform termenilor de utilizare (EULA/Terms of Use), ByteDance își rezervă dreptul de a folosi informațiile despre utilizator colectate de aplicația TikTok pentru a opera, furniza, dezvolta și îmbunătăți platforma și își rezervă dreptul de a partaja informațiile respective cu platforme și servicii terțe, spre exemplu:
- Autoritățile chineze
- Furnizori de servicii și alți parteneri ai ByteDance (e.g. data analytics, corporate transactions, copyright holders, advertisement, measureament and data etc.)
- Alți utilizatori și publicul larg
Aplicația TikTok poate favoriza diseminarea în masă de conținut malițios (malware) prin alimentarea sistematică a utilizatorilor cu un anumit tip de conținut.
TikTok are capabilitatea de a efectua depanare de la distanță asupra aplicației, inclusiv executarea de noi procese, oprirea de procese, jurnalizarea de activități pe dispozitiv.
În prezent, conform informațiilor furnizate de ByteDance, datele utilizatorilor TikTok din Uniunea Europeană nu sunt stocate în UE.
TikTok este o aplicație software deținută și operată de ByteDance Limited („ByteDance”), companie privată cu sediul în Beijing, China.
TikTok contrazice SRI privind riscurile de securitate: Ce date susține că nu ar colecta și ce scrie în termenii de utilizare a aplicației
Grupul chinez care deține aplicația mobilă TikTok a reacționat joi față de intenția statului de a interzice utilizarea aplicației în instituțiile și autoritățile publice din România, acuzând SRI de informații inexacte.
Chinezii susțin că nu ar fi adevărat că ar colecta date precum apăsările de taste, IMEI-ul dispozitivului, numărul de serie al cartelei SIM sau locația GPS, însă în termenii de utilizare ai aplicației se menționează altceva.
TikTok reclamă informații inexacte: Datele sunt stocate în siguranță în SUA, Singapore și Malaezia
Într-un punct de vedere remis HotNews.ro prin intermediul The Practice, agenția de PR care colaborează cu TikTok în România, un oficial al companiei acuză că recomandarea de interzicere a aplicației în instituțiile publice, din cauza unor riscuri de securitate cibernetică, s-ar baza pe informații inexacte.
- „Suntem dezamăgiți de această recomandare, care pare să se bazeze pe informații inexacte despre platforma noastră și ce date colectăm sau nu. Experți în securitate independenți au ajuns în mod repetat la concluzia că nu colectăm mai multe date decât alte aplicații obișnuite.
- Atât informațiile pe care utilizatorii aleg să ni le furnizeze, cât și informațiile care ajută ca aplicația să funcționeze, sunt colectate pentru a ne ajuta să operăm în siguranță și să îmbunătățim experiența utilizatorului.
- Datele utilizatorilor noștri sunt stocate în siguranță în SUA, Singapore și Malaezia și deschidem noi centre de date în Europa.
- Ne angajăm să fim transparenți în legătură cu practicile noastre și să detaliem ce date colectăm, împreună cu modul în care le folosim.
- În plus, am interacționat deja cu autoritățile relevante pentru a le oferi informațiile necesare și suntem în continuare pregătiți să discutăm pentru a clarifica orice nelămurire.”, a declarat un reprezentant TikTok, al cărui nume nu este menționat.
Ce date susține TikTok că nu ar colecta așa cum susține SRI
În plus, compania susține că „majoritatea punctelor menționate în raport (n.a raportul tehnic al SRI) au fost deja comunicate în mod transparent de către TikTok în Politica de Confidențialitate, Centrul de Confidențialitate și Siguranță și Rapoartele de Transparență trimestriale și nu sunt diferite de practicile din industrie.”
- „Unele dintre informațiile din raport care descriu datele pe care se presupune că le colectează TikTok (cum ar apăsările de taste, IMEI-ul dispozitivului, numărul de serie al cartelei SIM sau locația GPS) nu sunt adevărate, așa cum am explicat în mai multe rânduri în trecut.”, susține oficialul TikTok.
Locația aproximativă GPS și apăsarea tastelor sunt însă colectate. Cum se apără TikTok
HotNews.ro a verificat ce date personale susține TikTok că nu ar colecta și a semnalat faptul că în politica de confidențialitate se spune că se colectează atât informații despre apăsarea tastelor cât și despre locația aproximativă a telefonului mobil pe care se află aplicația pe baza datelor GPS. Iată:
- „Colectăm anumite informații despre dispozitiv și conexiunea la rețea atunci când accesați Platforma. Aceste informații includ modelul dispozitivului, sistemul de operare, tiparele sau ritmurile de apăsare a tastelor, adresa IP și limba sistemului dumneavoastră. (..)
- Colectăm automat informații despre locația dumneavoastră aproximativă (de exemplu, țara, statul sau orașul) pe baza informațiilor dumneavoastră tehnice (cum ar fi cartela SIM și adresa IP).
- De asemenea, în cazul în care activați serviciile de localizare pentru aplicația TikTok din setările dispozitivului dumneavoastră, colectăm informații despre locația aproximativă de la dispozitivul dumneavoastră.”, se arată în politica de confidențialitate a TikTok.
Despre colectarea datelor GPS:
- „Aplicația TikTok nu colectează informații despre locația precisă, fie pe baza tehnologiei GPS sau altfel.
- TikTok colectează date despre locația aproximativă pe baza informațiilor dispozitivului sau rețelei, cum ar fi cartela SIM sau adresa IP. Aplicația TikTok nu colectează informații despre locația precisă, fie pe baza tehnologiei GPS sau altfel, de la utilizatorii din SUA, UK, Spațiul Economic European și Elveția.
- În regiunile unde Serviciile de localizare sunt disponibile, utilizatorii pot alege să activeze Serviciile de localizare pentru TikTok din setările dispozitivului pentru a permite TikTok să colecteze informații despre locația aproximativă de pe dispozitiv folosind informații despre locația GPS.”, au precizat pentru HotNews.ro reprezentanții TikTok.
SRI a descoperit riscuri de securitate cibernetică în aplicația TikTok / Recomandare privind interzicerea aplicației în instituțiile publice
Ministrul Digitalizării, Sebastian Burduja, a anunțat miercuri că, Centrul Cyberint al Serviciului Român de Informații (SRI) a testat aplicația TikTok și a descoperit că aceasta ar putea permite accesul la datele personale ale utilizatorului, la conturarea unui profil al acestuia și la accesul la dispozitivele terților cu care utilizatorul aplicației interacționează în mediul online.
În cadrul ședinței Consiliului Operativ de Securitate Cibernetică (COSC) de miercuri, în calitate de organ consultativ aflat în coordonarea strategică a CSAT, ministrul Burduja a prezentat un raport tehnic privind riscurile de securitate cibernetică asociate instalării și utilizării aplicației TikTok, și anume:
- conform Termenilor de utilizare, se permite aplicației colectarea de informații de advertising direct de pe site-urile proprii prin integrarea unor utilitare de tip TikTok Advertising, precum TikTok Pixel;
- aplicația poate colecta un număr mare de informații despre dispozitivul utilizatorului, printre care: SSID Wifi, numărul de model al telefonului, seria cartelei SIM, IMEI, citire SMS, Adresa MAC a dispozitivului, număr de telefon, date GPS, detalii despre alte conturi conectate la dispozitiv, acces complet la Clipboard (ceea ce poate genera riscuri de securitate cibernetică deoarece o mare parte dintre dintre aplicațiile Password Manager exploatează clipboard);
- aplicația urmărește utilizatorii, chiar dacă aceștia au activată opțiunea Do Not Track;
- aplicația colectează automat date precum modelul dispozitivului, sistemul de operare, modele și ritmuri de apăsare a tastelor, IP, locație, conținut urmărit, istoric căutări, caracteristici ale conținutului postal, profiling de gen, vârstă etc;
- aplicația își rezervă dreptul de a partaja date cu autorități publice;
- aplicația colectează informații despre celelalte servicii și aplicații ce sunt instalate pe dispozitiv;
- poate efectua depanare de la distanță asupra aplicației, inclusiv executarea de noi procese;
- execută comenzi în Webview (poate duce la încărcarea de fișiere malware pe dispozitivul care găzduiește aplicația);
- aplicația are un browser propriu încorporat cu funcții Javascript iar orice date introduse pot fi monitorizate.
Raportul tehnic prezentat de ministrul Digitalizării a fost elaborat de Centrul Național Cyberint al Serviciului Român de Informații, pe baza datelor și informațiilor rezultate din testarea aplicației TikTok.
Sursa foto: Rafael Henrique / Dreamstime.com