Ngày 18/7, công ty an ninh mạng Internet 2.0 trụ sở tại Australia công bố nghiên cứu cáo buộc nền tảng chia sẻ video của Trung Quốc “là một lỗ hổng bảo mật lớn”, tiềm ẩn nhiều rủi ro có thể bùng phát bất cứ lúc nào.
Theo báo cáo, công ty đã phân tích mã nguồn của TikTok nhằm xác định nền tảng này đang thu thập những dữ liệu gì và đích đến của các dữ liệu nêu trên.
Công ty bảo mật cho rằng TikTok đã yêu cầu quyền truy cập “nhiều hơn so với những tuyên bố công khai”. Cụ thể, khi người dùng bật ứng dụng, nó sẽ được cấp quyền quét toàn bộ ổ cứng, truy cập danh bạ cũng như biết được có những ứng dụng nào đang được cài đặt trên thiết bị.
Một đoạn code cũng hé lộ việc TikTok thu thập cả IMEI, dãy số định danh điện thoại. Ngoài ra, TikTok còn tự động kiểm tra vị trí thiết bị ít nhất 1 lần mỗi giờ và vẫn tiếp tục tìm kiếm dữ liệu danh bạ ngay cả khi yêu cầu cấp phép bị từ chối.
Thậm chí với ứng dụng Calendar (lịch) của người dùng, TikTok có quyền truy cập liên tục để đọc và chỉnh sửa, trong khi đáng ra nền tảng này chỉ được cấp quyền trong những trường hợp đặc biệt, như phát sự kiện trực tiếp.
TikTok tuyên bố công ty lưu trữ dữ liệu người dùng tại các máy chủ ở Singapore và Mỹ. Tuy nhiên, phân tích của Internet 2.0 cho thấy nhiều tên miền phụ được thiết lập ở nhiều nơi trên thế giới, trong đó có cả ở thành phố Bạch Sơn, Trung Quốc.
“Chúng tôi vẫn chưa rõ mục đích kết nối hoặc vị trí đặt dữ liệu người dùng. Kết nối máy chủ Trung Quốc được điều hành bởi Guizhou Baishan Cloud Technology, công ty an ninh mạng và dịch vụ đám mây. Các tên miền phụ đặt ở nhiều nơi trên thế giới đều được kết nối với máy chủ tại Trung Quốc”, Internet 2.0 cho hay.
Internet 2.0 nhận thấy 37,7% địa chỉ IP đã biết của TikTok được cho là có liên kết với Alibaba, nhà cung cấp dịch vụ Internet trụ sở tại Hàng Châu, Trung Quốc. Công ty này cũng chính là nạn nhân của vụ rò rỉ dữ liệu cuối năm 2019, khiến hơn 1,1 tỷ dữ liệu thông tin người dùng bị thu thập bởi một nhà phát triển phần mềm.
Nghiên cứu kết luận rằng “TikTok thực hiện quá nhiều hoạt động theo dõi người dùng và các dữ liệu được lưu trữ một phần hoặc toàn bộ trên các máy chủ đặt tại Trung Quốc của nhà cung cấp ISP Alibaba”.
“Họ từ chối cung cấp chi tiết về các cơ sở hạ tầng tại Trung Quốc”, Robert Potter, đồng CEO của Internet 2.0 nói.
Ngoài ra, các chuyên gia bảo mật cũng cho biết, TikTok với vị thế là một trong những mạng xã hội phổ biến nhất tại Cộng hoà Séc, đang tiến hành thu thập dữ liệu của khoảng 2 triệu người dùng, trong đó chủ yếu là thanh thiếu niên dưới 24 tuổi tại quốc gia Đông Âu này.
Trước đó, nền tảng chia sẻ video của ByteDance cũng thừa nhận dữ liệu người dùng tại Australia được chuyển về Trung Quốc và một số nhân viên công ty có quyền truy cập tác động vào các thông tin trên.
“Đội ngũ bảo mật của chúng tôi chỉ cung cấp quyền truy cập cho số lượng tối thiểu những nhân viên cần phải làm công việc của họ”, Brent Thomas, giám đốc TikTok chi nhánh Australia cho hay. “Công ty có các chính sách và quy trình giới hạn truy cập nội bộ vào dữ liệu người dùng Australia”.
Trong khi đó, người phát ngôn TikTok tuyên bố Internet 2.0 đã đưa ra những tuyên bố “không có căn cứ”, khẳng định “số lượng thông tin thu thập không có gì bất thường”, thậm chí còn ít hơn so với nhiều ứng dụng di động phổ biến khác.
Vinh Ngô (Tổng hợp)