TikTok ontkent hack, forum verbant 'leugenaar' die roof van 6,7TB data claimde

TikTok ontkent dat er onlangs een hack heeft plaatsgevonden waarbij gebruikersdata en broncode zijn gestolen. De hacker claimt ruim twee miljard datapunten en 6,7TB data te hebben gedownload bij TikTok en WeChat. Het forum waar hij het op publiceerde heeft hem verbannen.

De hacker AgainstTheWest zegt toegang te hebben verkregen tot een Oracle-server waar data van TikTok en WeChat werd opgeslagen. De twee sociale media hebben verschillende eigenaren; het is niet direct duidelijk waarom data van deze twee bedrijven zou zijn gebundeld.

Op een hackersforum schreef AgainstTheWest een systemlog van 790GB te hebben gestolen en in totaal 6,7TB data te hebben gedownload. De hacker sprak over 2,05 miljard 'gebruikersgegevens', waarbij het niet duidelijk is of het om 2 miljard gebruikers ging, of 2 miljard datapunten van een kleiner aantal gebruikers.

TikTok ontkent tegen onder meer BleepingComputer dat zijn servers zijn gehackt. De data zou 'helemaal niets' met het sociale medium te maken hebben, aldus TikToks beveiligingsteam. De gebruikersgegevens zouden daarnaast niet direct gescrapet kunnen zijn van het platform, omdat het medium daar naar eigen zeggen 'adequate beveiligingsmaatregelen' voor heeft.

Have I Been Pwned-oprichter Troy Hunt schrijft op Twitter dat in ieder geval een deel van de data publiekelijk beschikbaar is. Deze zou van TikTok gescrapet kunnen zijn, of van andere bronnen kunnen komen. Daarnaast zit er data tussen die volgens Hunt 'duidelijk nep' is. Hunt was er daarom, op basis van de data die AgainstTheWest vrijgaf, niet direct van overtuigd dat TikTok was gehackt.

Inmiddels is AgainstTheWest verbannen van het hackersforum waar hij afgelopen zaterdag bekendmaakte TikTok en WeChat te hebben gehackt. Het forum zegt dat de breach niet van TikTok is 'en dat hij waarschijnlijk loog of het niet eens onderzocht voor hij zijn schandalige claims maakte'. Daarnaast zou AgainstTheWest vaker hebben gelogen over breaches, claimt het forum.

Een deel van de 'gehackte' TikTok-data, via Troy Hunt
Een deel van de 'gehackte' TikTok-data, via Troy Hunt

Door Hayte Hugo

Redacteur

06-09-2022 • 08:54

57

Submitter: AeonLucid

Reacties (57)

Sorteer op:

Weergave:

Heeft de hacker soms toegang gehad tot de server die voor de Chinese overheid is bedoeld, om te grasduinen in gevens van van TikTok en WeChat?
“De server”?

China heeft een aantal eigen cloudproviders en sommigen zijn populairder dan azure en AWS.

Het feit dat TikTok en WeChat zogenaamd op dezelfde oracle unit zouden staan is voor mij al een behoorlijke red flag.
Een goed verstaander heeft aan een half woord genoeg. Je snapt zelf hopelijk ook wel dat @Verwijderd systeem oid bedoelt.
Zeker. Alleen maakt dat dus precies de hele premise van dit artikel kompleet ongeloofwaardig.

Juist als het daadwerkelijk “de server” was geweest had het nog enigszins kunnen overkomen als plausibel.

De gegevens van beide partijen staan never nooit niet op hetzelfde apparaat. Zelfs als het een custom ding van de Chinese overheid is.
Alhoewel de gegevens van beide partijen fysiek niet op hetzelfde apparaat zullen staan.

Toch zal er wel ergens 1 interface of api oid zijn waartegen de Chinese overheid praat en net zo goed zal er voor de Chinese medewerkers van de overheid ook weer 1 interface of api oid zijn waarmee men die data weer bevraagt.

Het is niet alsof de medewerkers maar even een paar duizend cloud-servers stuk voor stuk los langs moeten gaan om alles te checken, ergens zal er 1 (of een minimaal aantal) endpoints zijn waar je bij al die data kan.
Als je nu dat endpoint hacked dan hack je dus 1 "server" die je toegang geeft tot alle gemeenschappelijke data.

De rest van het verhaal maakt het ongeloofwaardig etc. Maar het simpele feit dat men praat over 1 server zegt niets als je die gewoon ziet als spraakgebruik en analoog aan verschillende andere dingen.

Anders kan je het ook heel letterlijk nemen en zeggen dat hij waarschijnlijk nooit 1 server gekraakt heeft omdat 1 server fysieke hardware is, terwijl dit allemaal in the cloud gevirtualiseerde hardware is.
Als je nu dat endpoint hacked dan hack je dus 1 "server" die je toegang geeft tot alle gemeenschappelijke data.
Exact. ALLE data. Dus niet specifieke alleen WeChat en Tiktok
Maar het simpele feit dat men praat over 1 server zegt niets als je die gewoon ziet als spraakgebruik en analoog aan verschillende andere dingen.
nee daar waren we allang overheen gestapt, en dat was ook niet het punt. Het zal simpelweg gewoon niet op deze manier op dezelfde infra hebben gestaan.
Cloud of niet, het blijft toch een server?
Nee. Cloud zijn heel veel servers. Toegang tot 1 daarvan betekent net zo goed geen toegang tot de rest als dat ik bij jou op je Oc kan komen en dan zeggen dat ik het internet gehackt heb.

Deze data van deze twee partijen is kompleet niet aan elkaar gerelateerd en de kans dat het toevallig bij elkaar op een server staat is vrijwel 0.
Als je toegang hebt tot de cloud omgeving van de overheid dan is de kans niet 0. Server kun je trouwens op verschillende niveaus definiëren. Jij gaat iets te veel uit van de infrastructuur. Een Apache instance is ook een server.
Maar dan is het niet “alleen” deze twee. Dat is mijn punt. Als je tot individuele instance kunt komen is de kans vrij groot dat er of 1 set staat of meerdere halve ZEKER in het geval van een oracle DB die aan table sharding doet.
Geen gekke gedachte. Waarom zouden Tiktok en Wechat anders gebundeld zijn? Die twee bedrijven hebben echt geen gedeelde systemen/servers/instances/databases/rooksignaalgeneratoren
(overdreven voordat @supersnathan94 begint te antfucken).

Maar als Brian Krebs twijfelt dan ga ik daar blind in mee in deze. Nep.
[mierencopulatiemodus]
Je had het ook gewoon “infra” kunnen noemen hoor :+
[/]

Maar dan nog is het zeer onwaarschijnlijk dat die gegevens ooit op een zelfde systeem terechtkomen op deze manier.

Zelfs niet voor de chinese overheid. En dan al helemaal niet alleen deze twee right?

[Reactie gewijzigd door supersnathan94 op 26 juli 2024 04:13]

Overheden doen wel vaker gekke dingen ivm IT gerelateerde projecten.

Nou denk ik niet dat het een likely scenario is, maar het 100% onmogelijk beschouwen is ook te ver voor mij.
Ja maar dan zou er naast TikTok en WeChat toch nog veeeeeeeeel meer te halen vallen? Het gaat om een of andere oracle database. Hoe groot is de kans dat dan “alleen” deze twee niet gerelateerde partijen erin staan?
Zonder even inhoudelijk te weten of Oracle deze functionaliteit heeft.

Maar meerdere database-systemen hebben gewoon de mogelijkheid om de data fysiek over meerdere servers te plaatsen maar wel in 1 database te hebben en dus ook 1 entrypoint tot alle data te hebben.

Als je dan een database cluster bouwt met 100 servers en je gooit er 200 databases op, dan is er best een kans dat specifiek server x of y enkel een endpoint heeft voor 2 databases.

Technisch is er een verschil tussen
- of ik inbreek op 1 server en dan een query kan doen op een lokale database
- of ik inbreek op 1 server en dan een query kan doen op een database cluster

Praktisch is er geen verschil hiertussen en praat men over het algemeen over inbraak op 1 server waarvandaan men dan x data getrokken heeft.
Of het nou decentraal geshard staat in een über cluster van 100 units of niet maakt niet zoveel uit. Het ging er om dat deze twee datasets gewoon niet zomaar ff in 1 unit bij elkaar staan.

Ik snap ook wel dat dat niet 1 fysiek apparaatje is. ;).
Vanwege de aard van cloud (je moet onbezorgd ruimte erbij kunnen pakken zonder het expliciet toe te wijzen) en de verwachte grootte van de datasets.

Is het juist heel waarschijnlijk dat er meerdere units zijn waarop deze datasets bij elkaar staan.
Je moet juist moeite doen in een gemiddelde cloud-structuur om ze te scheiden. Normaliter zet je gewoon een cloud-structuur neer van 100 nodes en dan zeg je : Sla dit maar op. En het is verder niet relevant hoe en waar het staat.

Totdat je dus op 1 node gaat kijken (wat in de praktijk nooit iemand "legaal" zou doen, iedereen is verplicht om de data te benaderen via de cluster-coordinator)

Je kan het fysiek gaan scheiden, alleen als je cluster een recovery rate (beter woord kan ik er niet voor bedenken zo snel) heeft van 25 servers, dan kan je bij 20 servers uitval al je gescheiden data kwijt zijn. Puur vanwege het feit dat die 20 servers net alleen WeChat data bevatten en dat je cluster geen mogelijkheid heeft om die data ergens anders op te slaan omdat alle andere 80 server meer of mindere data van TikTok bevatten.
Wil je het echt op node-nivo gaan scheiden dan zal je 2 separate clusters op moeten zetten, of je sloopt gewoon je cluster-garanties door onhandige inrichting.

Oftewel de data zal minimaal tezamen staan op 1 node, of die data ook buiten de cluster-coordinator etc toegankelijk is is sterk afhankelijk van de cluster-implementatie etc.

Alleen de meeste cluster-software kent niet echt aparte server en node software. Meestal is het gewoon een server programma wat met config tot node gemaakt wordt, waardoor je dus met hacken etc technisch/theoretisch de mogelijkheid hebt om minimaal de lokale (zoniet de totale cluster) data in te zien als je de config kan veranderen.

Er zijn tal van redenen waardoor het bericht als onzin af te doen is, maar specifiek het 1 gehackt server/endpoint waarmee je deze 2 databases kan benaderen is daar geen onderdeel van
Die screenshot doet het hem.. boel John Doe's

Edit, misschien had ik /s erbij moeten zetten? Dacht dat het wel duidelijk een sarcastische opmerking was, sorry.

[Reactie gewijzigd door Alxndr op 26 juli 2024 04:13]

Wat op zich niets te betekenen heeft. Het is een set van één gebruiker. Er kan best een gebruiker John Doe op TikTok zitten. Ik post hier ook niet onder de naam die op mijn paspoort staat. Meestal is mijn adres en geboortedatum ook volledig verzonnen.
Ah, en die john doe heeft ook nog eens toegang tot het email-domain example.com? :)
Zegt ook niks, kunnen testaccounts zijn. Je zou de onzin in onze test database een moeten zien.
Waarmee ik niet wil zeggen dat deze data *niet* fake is, alleen dat je argument niet klopt.
Zegt ook niks,
Het zegt genoeg, het zijn dus testgegevens, of die van Tiktok zijn is niet duidelijk, het kan zelfs een screenshot zijn die totaal geen relatie heeft met het artikel.
Het zegt dus ook dat dit hoogst waarschijnlijk niet een echte persoon is die de nick John Doe gebruikt zoals Het.Draakje (voor)stelde.
Hoe vaak bevatten testgegevens niet ook werkelijke gegevens?
Best vaak, je kan namelijk met zogenaamde factories fictieve data naar een database schrijven, die erg lijken op iets legit.

De reden is dat je lokaal vaak productie data wilt nabootsen, zonder dat je dus daarvoor bestaande data voor gebruikt.
Bedoelde meer dat echte data gebruikt wordt die niet of onvoldoende geanonimiseerd is.
Wie zegt er geen test data staat op de productie server?

Er zijn bedrijven die constant hun tests die ze op dev/test draaien ook op productie hebben. Zodat ze veel sneller een probleem gevonden hebben. Daarvoor heb je testgegevens nodig. Dat ga je niet doen met een random account.

Zeker voor een systeem van het formaat TikTok, zou ik dat niet als iets geks zien. Je wilt gewoon te allen tijde weten wat de status is van al je functies.

Voor een applicatie van een paar duizend man zou ik het niet doen.
Die staan dan hopelijk weer niet allemaal in de productie-database.
Als ik onze klantenDB zou dumpen kom je ook snel een dozijn demo en test accounts tegen, dat wil niet zeggen dat de overige 100.000 niet echt zijn.
Het wil ook niet zeggen dat de overige 100.000 wel echt zijn....Ergo, er is niks aan af te leiden.
Totdat je een match vindt.
Dat screenshot is niet de data die in de breach staat. Hooguit de velden kloppen. Iets met privacy (of een layer 8-error)

[Reactie gewijzigd door JeroenED op 26 juli 2024 04:13]

Iets met privacy.
Want hackers houden zich aan de wet?
Hackers niet, wel troy hunt wiens screenshot het is. Maar in de thread van Hunt zou het wel gaan om data in de breach waarbij hij aangeeft dat hij hierdoor door de mand valt.
Als je data gaat faken ga je niet direct allemaal John Doe's generen toch?
Er zit ook een hoop data in die wel geverifieerd is. Waarom zou de hacker zelf data verzinnen als ze ook echte hebben?

Ik denk eerder dat het data is die door gebruikers is ingevoerd. Niet iedereen wil immers zijn echte naam gebruiken of heeft andere motieven. Misschien waren al die John Doe's door een scraper aangemaakt om door bots te gebruiken?

Of het was test data van het platform zelf.

Edit ah /s :) Ik dacht ook echt dat je het serieus bedoelde.

[Reactie gewijzigd door GekkePrutser op 26 juli 2024 04:13]

Je kunt op een kleine database stuiten met wat informatie waarvan je denkt dat het van TikTok is en die dan aanvullen met -tig keer meer informatie die je zelf gegenereerd hebt om je ontdekking interessanter te doen lijken.
Maar hij krijgt wel de media aandacht die hij waarschijnlijk zocht.... :X
Maar zou het dan alleen om de aandacht gaan f wil hij TikTok schade toebrengen?
Waarschijnlijk wil hij geld krijgen van TikTok, zo van "geef mij 100 Bitcoin en dan publiceer ik het niet".
Tja, als hij echt bewijs had, dan was het wel gevalideerd (zoals Troy heeft geprobeerd). En je wordt ook niet zomaar verbannen...

De vraag waarom iemand liegt is lastig en er zijn veel antwoorden mogelijk. Maar hoe dan ook wil hij blijkbaar aandacht anders maak je geen publieke claims. Zulke mensen moet je negeren en geen aandacht geven. Nu ziet hij zichzelf in het nieuws en wil hij het mogelijk herhalen.
AgainstTheWest en dan een chinees bedrijf hacken? :o
Tiktok is alleen beschikbaar voor westerse gebruikers. En zo'n dataleak is veel ingrijpender voor de gebruikers dan voor het bedrijf.

Tis nou niet alsof de gemiddelde gebruiker van tiktok de app gaat verwijderen omdat de privacy niet goed op orde is. Dan hadden ze dat allang gedaan.
Privacy is perfect in orde. Hier een short bij de concurrentie daaromtrent.
Welicht "tegen west-china"?
West Taiwan bedoel je? haha
Misschien heeft TikTik gewoon een hoop test data in productie staan ;-)
Ik denk dat dit soort bedrijven zoveel spam en bots over zich heen krijgen dat het onderscheid moelijk te zien is...
"AgainstTheWest doet een Riannetje" :+
Hoe behandelt China hacks? Maken ze dat publiekelijk zoals in het westen om schade te beperken. Of ontkennen ze om het imago van het betreffende bedrijf te beschermen?

Als ik iets van Rusland heb geleerd is dat het voor bepaalde landen geen enkel probleem is om glashard te liegen.
Ze hebben wel privacy-wetgeving ingevoerd om aan de ene kant data binnen China te houden en aan de andere kant om de macht van de grotere techbedrijven in te binden en gevallen zoals met Jack Ma te voorkomen.

https://www.reuters.com/w...-effect-nov-1-2021-08-20/
China is een dictatuur. Dus er wordt intern vast wel naar gekeken, maar dit soort dingen gaan in de doofpot.
Gebaseerd op de data die AgainstTheWest laat zien ben ik niet overtuigd van een hack. Vaak zie je dat ze dan een deel van echte data online zetten i.p.v. fake data t.b.v. de privacy. En als dat wél het geval zou zijn, dan is het een zeer nette hacker en is TikTok de leugenaar :)
De twee sociale media hebben verschillende eigenaren; het is niet direct duidelijk waarom data van deze twee bedrijven zou zijn gebundeld.
lol
Ik vind het persoonlijk niet zo verwonderlijk. Ik kan me nog een voorbeeldje herinneren van een grote telecom club (KPN, T-Mobile, Vodafone, het was 1 van de drie maar ik zeg niet welke) die bepaalde data wilde gaan uitdelen onder zakelijke klanten maar alhoewel dat een handmatige actie zou zijn van account managers, omdat het met de hand een monsterklus zou zijn om de bestaande database te gaan aanvullen wilden ze het automatiseren op basis van postcode ranges. Dus een collega had een extreem goor stuk Oracle procedure gemaakt wat dit kon berekenen op basis van postcode afstand formules die ik nog steeds niet begrijp. Weken werk in ieder geval.

En toen werd het aan de productiedatabase gekoppeld en... had geen enkele klant daadwerkelijk adresgegevens. Geen postcodes, geen resultaat. "Oh, is dat een probleem?" - vroeg de telecom provider toen... Klomp-brekend momentje was dat.

Maar ergens anders stond er nog wel een andere database in gebruik voor een andere oplossing waar de adresgegevens in zaten. Dus even snel koppelen en gaan met de banaan... Beslissing van een paar seconde, minuutje werk.
Waarom geloven we TikTok - uit China? Spreekt Xi de waarheid? Is hij een tegenstander van Poetler? Ik denk het niet - dus medeheerser van het fake-news-rijk samen met hun maatje uit NORK.
Wie vertrouwt een chinees sociaal medium? Gaat dat geen data aan het leger moeten doorspelen? Compromat? Dat is ook gekend in China! Zeker weten...

Op dit item kan niet meer gereageerd worden.