Sari direct la conținut

TikTok contrazice SRI privind riscurile de securitate: Ce date susține că nu ar colecta și ce scrie în termenii de utilizare a aplicației

HotNews.ro
Logo TikTok, Foto: Justlight, Dreamstime.com
Logo TikTok, Foto: Justlight, Dreamstime.com

​Grupul chinez care deține aplicația mobilă TikTok a reacționat joi față de intenția statului de a interzice utilizarea aplicației în instituțiile și autoritățile publice din România, acuzând SRI de informații inexate. Chinezii susțin că nu ar fi adevărat că ar colecta date precum apăsările de taste, IMEI-ul dispozitivului, numărul de serie al cartelei SIM sau locația GPS, însă în termenii de utilizare ai aplicației se menționează altceva.

TikTok reclamă informații inexacte: Datele sunt stocate în siguranță în SUA, Singapore și Malaezia

Într-un punct de vedere remis HotNews.ro prin intermediul The Practice, agenția de PR care colaborează cu TikTok în România, un oficial al companiei acuză că recomandarea de interzicere a aplicației în instituțiile publice, din cauza unor riscuri de securitate cibernetică, s-ar baza pe informații inexacte.

  • „Suntem dezamăgiți de această recomandare, care pare să se bazeze pe informații inexacte despre platforma noastră și ce date colectăm sau nu. Experți în securitate independenți au ajuns în mod repetat la concluzia că nu colectăm mai multe date decât alte aplicații obișnuite.
  • Atât informațiile pe care utilizatorii aleg să ni le furnizeze, cât și informațiile care ajută ca aplicația să funcționeze, sunt colectate pentru a ne ajuta să operăm în siguranță și să îmbunătățim experiența utilizatorului.
  • Datele utilizatorilor noștri sunt stocate în siguranță în SUA, Singapore și Malaezia și deschidem noi centre de date în Europa.
  • Ne angajăm să fim transparenți în legătură cu practicile noastre și să detaliem ce date colectăm, împreună cu modul în care le folosim.
  • În plus, am interacționat deja cu autoritățile relevante pentru a le oferi informațiile necesare și suntem în continuare pregătiți să discutăm pentru a clarifica orice nelămurire.” a declarat un reprezentant TikTok, al cărui nume nu este menționat.

Ce date susține TikTok că nu ar colecta așa cum susține SRI

În plus, compania susține că „majoritatea punctelor menționate în raport (n.a raportul tehnic al SRI) au fost deja comunicate în mod transparent de către TikTok în Politica de Confidențialitate, Centrul de Confidențialitate și Siguranță și Rapoartele de Transparență trimestriale și nu sunt diferite de practicile din industrie.”

  • „Unele dintre informațiile din raport care descriu datele pe care se presupune că le colectează TikTok (cum ar apăsările de taste, IMEI-ul dispozitivului, numărul de serie al cartelei SIM sau locația GPS) nu sunt adevărate, așa cum am explicat în mai multe rânduri în trecut.”, susține oficialul TikTok.

Locația aproximativă GPS și apăsarea tastelor sunt însă colectate. Cum se apără TikTok

HotNews.ro a verificat ce date personale susține TikTok că nu ar colecta și a semnalat faptul că în politica de confidențialitate se spune că se colectează atât informații despre apăsarea tastelor cât și despre locația aproximativă a telefonului mobil pe care se află aplicația pe baza datelor GPS. Iată:

  • „Colectăm anumite informații despre dispozitiv și conexiunea la rețea atunci când accesați Platforma. Aceste informații includ modelul dispozitivului, sistemul de operare, tiparele sau ritmurile de apăsare a tastelor, adresa IP și limba sistemului dumneavoastră. (..)
  • Colectăm automat informații despre locația dumneavoastră aproximativă (de exemplu, țara, statul sau orașul) pe baza informațiilor dumneavoastră tehnice (cum ar fi cartela SIM și adresa IP).
  • De asemenea, în cazul în care activați serviciile de localizare pentru aplicația TikTok din setările dispozitivului dumneavoastră, colectăm informații despre locația aproximativă de la dispozitivul dumneavoastră.”, se arată în politica de confidențialitate a TikTok.

Potrivit informațiilor prezentate în Google Play Store, TikTok face următoarele precizări:

  • Locația aproximativă (n.a pe care o colectează TikTok) este locația fizică a ta sau a dispozitivului tău într-o zonă mai mare sau egală cu trei kilometri pătrați, cum ar fi orașul în care te afli.
  • Locația exactă este locația fizică a ta sau a dispozitivului tău într-o zonă mai mică de trei kilometri pătrați.

După ce HotNews.ro a semnalat prezența acestor date colectate chiar în termenii de utilizare ai aplicației, oficialii TikTok au revenit cu noi precizări:

Despre colectarea datelor GPS:

  • „Aplicația TikTok nu colectează informații despre locația precisă, fie pe baza tehnologiei GPS sau altfel.
  • TikTok colectează date despre locația aproximativă pe baza informațiilor dispozitivului sau rețelei, cum ar fi cartela SIM sau adresa IP. Aplicația TikTok nu colectează informații despre locația precisă, fie pe baza tehnologiei GPS sau altfel, de la utilizatorii din SUA, UK, Spațiul Economic European și Elveția.
  • În regiunile unde Serviciile de localizare sunt disponibile, utilizatorii pot alege să activeze Serviciile de localizare pentru TikTok din setările dispozitivului pentru a permite TikTok să colecteze informații despre locația aproximativă de pe dispozitiv folosind informații despre locația GPS.”, au precizat pentru HotNews.ro reprezentanții TikTok.

Despre colectarea datelor privind apăsarea tastelor:

  • Așa cum am clarificat anterior, TikTok nu înregistrează keystroke logging. TikTok folosește informații despre keystrokes (apăsarea tastelor) pentru a detecta modele sau ritmuri neobișnuite, de exemplu, dacă fiecare literă tastată reprezintă exact 1 tastă pe secundă. Acest lucru ajută la protejarea împotriva autentificărilor false, a comentariilor de tip spam sau a altor comportamente care pot amenința integritatea platformei noastre.
  • Recunoașterea modelului de keystroke este o tehnologie cunoscută de securitate a rețelei și a sistemului, utilizată pentru a proteja sistemele și datele prin evaluarea vitezei și ritmului tastelor pentru a identifica entitățile care au intenții negative (cum ar fi boții), fără a captura conținutul a ceea ce este tastat.
  • Keystroke logging este o tehnologie diferită care este utilizată pentru a capta conținutul scris de o persoană, iar TikTok nu înregistrează acest lucru.”, au mai declarat pentru HotNews.ro oficialii TikTok.

Agenția The Practice revine: Au tradus prea dur în limba română o expresie a oficialului TikTok

Ulterior, agenția The Practice a revenit susținând că a observat că o parte din declarația în limba engleză a oficialului TikTok a fost tradusă în termeni mai duri în limba română.

„Ne-am gândit că ar ajuta să clarificăm o nuanță legată de traducere, după ce am observat că o parte din text sună mai dur în limba română.

Expresia „not accurate” din această propoziție: ‘Some of the information regarding data described in the release as collected by TikTok (like keystrokes, device IMEI, SIM serial number or GPS location) are not accurate and we’ve already provided our explanations multiple times in the past’ – poate fi tradusă și prin: nu sunt exacte, nu sunt precise.

În comunicatul inițial „are not accurate” a fost tradus cu „nu sunt adevărate”.

SRI a descoperit riscuri de securitate cibernetică în aplicația TikTok / Recomandare privind interzicerea aplicației în insituțiile publice

Ministrul Digitalizării, Sebastian Burduja, a anunțat miercuri că, Centrul Cyberint al Serviciului Român de Informații (SRI) a testat aplicația TikTok și a descoperit că aceasta ar putea permite accesul la datele personale ale utilizatorului, la conturarea unui profil al acestuia și la accesul la dispozitivele terților cu care utilizatorul aplicației interacționează în mediul online.

În cadrul ședinței Consiliului Operativ de Securitate Cibernetică (COSC) de miercuri, în calitate de organ consultativ aflat în coordonarea strategică a CSAT, ministrul Burduja a prezentat un raport tehnic privind riscurile de securitate cibernetică asociate instalării și utilizării aplicației TikTok, și anume:

  • conform Termenilor de utilizare, se permite aplicației colectarea de informații de advertising direct de pe site-urile proprii prin integrarea unor utilitare de tip TikTok Advertising, precum TikTok Pixel;
  • aplicația poate colecta un număr mare de informații despre dispozitivul utilizatorului, printre care: SSID Wifi, numărul de model al telefonului, seria cartelei SIM, IMEI, citire SMS, Adresa MAC a dispozitivului, număr de telefon, date GPS, detalii despre alte conturi conectate la dispozitiv, acces complet la Clipboard (ceea ce poate genera riscuri de securitate cibernetică deoarece o mare parte dintre dintre aplicațiile Password Manager exploatează clipboard);
  • aplicația urmărește utilizatorii, chiar dacă aceștia au activată opțiunea Do Not Track;
  • aplicația colectează automat date precum modelul dispozitivului, sistemul de operare, modele și ritmuri de apăsare a tastelor, IP, locație, conținut urmărit, istoric căutări, caracteristici ale conținutului postal, profiling de gen, vârstă etc;
  • aplicația își rezervă dreptul de a partaja date cu autorități publice;
  • aplicația colectează informații despre celelalte servicii și aplicații ce sunt instalate pe dispozitiv;
  • poate efectua depanare de la distanță asupra aplicației, inclusiv executarea de noi procese;
  • execută comenzi în Webview (poate duce la încărcarea de fișiere malware pe dispozitivul care găzduiește aplicația);
  • aplicația are un browser propriu încorporat cu funcții Javascript iar orice date introduse pot fi monitorizate.

Raportul tehnic prezentat de ministrul Digitalizării a fost elaborat de Centrul Național Cyberint al Serviciului Român de Informații, pe baza datelor și informațiilor rezultate din testarea aplicației Tiktok.

În cadrul COSC s-a decis ca fiecare autoritate publică membră să facă o analiză proprie a riscurilor, vulnerabilităților și amenințărilor de securitate cibernetică asociate instalării și utilizării aplicației TikTok.

Această analiză ar trebui prezentată într-o săptămână. Până atunci, Directoratul Național de Securitate Cibernetică (DNSC) va emite o recomandare către autoritățile și instituțiile publice centrale și locale pentru dezinstalarea și interzicerea pe dispozitivele de serviciu a aplicației TikTok.

Ministerul Digitalizării a recomandat și cetățenilor „să adopte o poziție prudentă și diligentă cu privire la utilizarea aplicației TikTok, având în vedere riscurile de securitate cibernetică rezultate din utilizarea acesteia.

„Nu se pune problema interzicerii utilizării aplicației TikTok de către cetățenii români pe dispozitive personale, dar atragem atenția că utilizarea ei poate conduce la accesul aplicației la datele personale ale utilizatorului, la conturarea unui profil al acestuia și la accesul la dispozitivele terților cu care utilizatorul aplicației interacționează în mediul cibernetic.”, a precizat Ministerul.

Sursa foto: Justlight / Dreamstime.com

ARHIVĂ COMENTARII
INTERVIURILE HotNews.ro