Ministerul Cercetării Inovării și Digitalizării a recomandat bugetarilor să dezinstaleze aplicația TikTok de pe telefoanele de serviciu, după ce aplicația a fost testată de către Centrul Național Cyberint al Serviciului Român de Informații, deoarece reprezintă un risc important la nivelul individual.
„Pe lângă ce trebuie să facă statul român, instituțiile cred că vor ține seama de asta, în dispozitivele de serviciu pot fi informații despre fișa postului, nu discutăm de informații secrete, dar sunt informații care pot deveni vulnerabilități”, a declarat ministrul Sebastian Burduja, pentru Digi24.
El le recomandă românilor să folosească aplicația cu prudență, dar asigură că aplicația nu va fi interzisă pe dispozitivele personale.
În România existau cel puțin 6,37 milioane de utilizatori TikTok în vârstă de peste 18 ani, la nivelul anului 2022. La nivel european, peste o cincime din cetățenii UE sunt utilizatori ai aplicației.
De ce se dorește interzicerea TikTok?
„Sunt două motive: platforma colectează foarte multe date cu caracter personal și datele nu sunt protejate suficient, ne este teamă că guvernul chinez și angajații companiei ByteDance folosesc datele pentru alte scopuri”, explică Alex Ștefănescu, expertă în securitate și cibernetică la Asociația pentru Tehnologie și Internet.
Marea problemă din această ecuație este China: faptul că țările vestice nu au încredere în guvernul chinez că va sta departe de datele obținute de la cei peste un miliard de utilizatori la nivel global.
Odată cu popularitatea nemaiîntâlnită a aplicației, au apărut riscuri nu doar în ceea ce privește influențarea utilizatorilor de rând, ci în accesarea datelor acestora într-o manieră intruzivă de către guvernul chinez.
Riscul de securitate națională, principalul motiv de îngrijorare a țărilor vestice, apare atunci când aplicația este instalată pe un telefon de serviciu.
Experta în securitate și cibernetică Alex Ștefănescu spune, la rândul său, că TikTok colectează multe date cu caracter personal.
„Din contul său, oricine își poate descărca arhiva cu toate datele sale. Putem compara acest set de date cu ceea ce obținem dacă ne descărcăm arhiva datelor de pe Facebook și Instagram (ambele deținute de Meta). Rămâne la latitudinea fiecăruia dintre noi să decidem dacă suntem confortabili ca aceste date să fie colectate”, explică Alex Ștefănescu.
Multe alte date provin din software development kits (SDK), unelte digitale care integrează alte aplicații cu sistemele TikTok astfel încât, în baza datelor obținute de către rețeaua socială, utilizatorilor li se trimit reclame personalizate. Această metodă nu este folosită doar de TikTok, ci de multe alte rețele sociale.
„TikTok primește date și de la alte aplicații și website-uri, iar acest flux de date este foarte dificil de blocat”, confirmă experta consultată de Europa Liberă.
A doua problemă cu TikTok și datele personale ține de încredere, adaugă Alex Ștefănescu.
În 2022, noua politică de confidențialitate a TikTok preciza că datele cu caracter personal ar putea fi accesate de angajați din Brazilia, Canada, China, Israel, Japonia, Malaezia, Filipine, Singapore, Coreea de Sud și SUA.
„Ceea ce vedem în momentul de față este o lipsă de transparență legată de cine are acces la datele companiei ByteDance și în ce condiții”, precizează Alex Ștefănescu.
Ca răspuns la criticile instituțiilor europene cu privire la securitatea cibernetică în Europa, în martie, TikTok a propus Project Clover, care va crea o enclavă de procesare a datelor utilizatorilor europeni, în Irlanda și Norvegia.
„Nu este deloc clar, însă, dacă aceste eforturi sunt suficiente pentru a asigura un regim corect de stocare și accesare a datelor”, punctează experta.
În anii trecuți, Comisia irlandeză pentru protecția datelor cu caracter personal a început o anchetă pe tema procesării datelor utilizatorilor minori de către TikTok.
În Marea Britanie, în aprilie, TikTok a fost amendat cu 12,7 milioane de lire sterline pentru că au procesat ilegal datele personale a 1,4 milioane de minori sub 13 ani care foloseau aplicația fără consimțământul părinților.
Comisarul britanic care s-a ocupat de caz spune că platforma nu a luat destule măsuri pentru a identifica și bloca utilizatorii sub 13 ani, limita de vârstă determinată în condițiile de utilizare TikTok.
Nu există dovezi cum că prin aplicație ar putea fi controlate dispozitivele utilizatorilor. „Din ceea ce știm despre cum funcționează TikTok în momentul de față, nu există motive să ne îngrijorăm că un dispozitiv pe care e instalat TikTok ar putea să fie controlat prin TikTok”, precizează Alex Ștefănescu, de la Asociația pentru Tehnologie și Internet.
Și alte rețele sociale au avut probleme cu colectarea datelor și cu influențarea utilizatorilor, însă problema pare să ridice mai multe semne de întrebare deoarece aplicația este deținută de o firmă chineză.
„Monitorizarea pe care aplicațiile o fac, atât în propria platformă cât și pe alte platforme, prin tracking pixels de exemplu, este periculoasă și atunci când e făcută de companii cu sediul în America sau Europa”, amintește expertul în securitate și cibernetică.
În trecut, aplicațiile din Silicon Valley au avut și ele un impact imens asupra evenimentelor globale. Algoritmii și publicitatea de pe Facebook au contribuit la alegerea lui Donald Trump în 2016 prin Cambridge Analytica, iar un an mai târziu la organizarea și desfășurarea genocidului împotriva minorității etnice Rohingya în Myanmar.
„Diferența constă în vizibilitatea noastră. Ne ajută foarte mult faptul că există organizații puternice și active care lucrează la protejarea drepturilor digitale în țările în care aceste companii au sediul, cât și faptul că țările respective au o legislație care ne oferă un plus de transparență.
Mai mult, organizațiile au un rol de watchdog, adică activitatea lor este respectată și este văzută ca fiind o componentă esențială a democrației și a sănătății domeniului tehnologiei. Ne gândim aici la coaliții pentru European Digital Rights, din care face parte și Asociația pentru Tehnologie și Internet”, precizează reprezentanta asociației.
Interzicerea TikTok pe telefoanele de serviciu
În SUA, guvernatorul statului Montana a aprobat pe 17 mai o lege care ar interzice complet aplicația TikTok în statul său. Montana este primul stat american care ia o astfel de măsură.
Justificările autorităților din Montana țin de faptul că TikTok ar putea influența utilizatorii americani, ale căror informații ar ajunge la autoritățile chineze, și că statul chinez ar deține acțiuni majoritare în companie. Conform datelor din prezent, statul chinez deține 1% dintr-un subsidiar ByteDance, compania-părinte a TikTok cu sediul la Beijing.
Deocamdată, nu există dovezi cum că guvernul chinez ar fi accesat informațiile personale ale utilizatorilor americani. Un fost angajat al ByteDance, însă, a dat în judecată compania, spunând că guvernul ar avea acces la datele acesteia.
În decembrie anul trecut, Forbes a publicat un articol exclusiv în care afirmau că angajații ByteDance au urmărit jurnaliști prin datele accesate de TikTok.
„Angajații ByteDance s-au folosit de accesul, prin aplicație, la adresa IP și locația jurnaliștilor și verificau dacă aceștia se află în aceeași locație cu alți angajați ByteDance - practic, încercau să deconspire sursele jurnaliștilor”, explică Alex Ștefănescu.
Majoritatea țărilor care se opun TikTok au interzis deja instalarea aplicației pe telefoanele de serviciu: în afara UE, este vorba de Canada, Australia, Noua Zeelandă, și Marea Britanie.
În SUA, TikTok este deja interzisă de trei ani pe dispozitivele de serviciu ale angajaților din forțele armate, marină și alte ocupații militarizate. În UE, recomandări similare există și pentru angajații instituțiilor europene, iar la nivel național în Estonia, Franța, Belgia, Danemarca și Olanda.
Deși instituțiile europene nu au conturi pe TikTok la fel cum au pe Facebook sau Instagram, mai mulți politicieni europeni au conturi de TikTok, la fel și grupările politice din Parlamentul European.
Agențiile de securitate cibernetică din aceste țări au avertizat că există un risc semnificativ de spionaj sau de influențare a angajaților statului. Experții naționali se tem că aplicația accesează diverse date secrete din telefonul de serviciu și că ar colecta mai multe informații despre utilizatori decât alte rețele sociale.
Alex Ștefănescu, de la Asociația pentru Tehnologie și Internet, consideră că amenințările de interzicere a TikTok sunt din punct de vedere tehnic „un simptom al unui proces lung de izolare și de transformare a Internetului”, un răspuns la Marele Firewall al Chinei și la alte măsuri de cenzură din Rusia, Iran și Afganistan.
Care este produsul unei aplicații gratuite?
„Dacă un produs este gratis, înseamnă că tu ești produsul”, avertiza încă din 1973 sculptorul Richard Serra. El făcea referire la apariția televiziunilor private și de masă, însă citatul a ajuns să fie folosit recent cu referire la site-urile, aplicațiile și rețelele de socializare de pe internet care sunt utilizate gratuit.
Cel mai adesea, costul ascuns plătit de utilizatori constă în folosirea datelor acestora în scopuri publicitare, pentru a le vinde produse. Iar acest lucru ține de aproape orice website, nu doar de TikTok.
„Faptul că discuția legată de protejarea datelor cu caracter personal este acum concentrată pe practicile companiei ByteDance și pe platforma TikTok ne poate face să pierdem din vedere celelalte pericole majore”, precizează experta în securitate și cibernetică Alex Ștefănescu.
„Când vine vorba de datele noastre, se duce o luptă continuă între companiile care vor să le colecteze și monetizeze și noi, cei care ne dorim să avem control asupra datelor noastre și să nu « plătim» cu datele noastre pentru acces la platforme online”, mai spune ea.
Ce pericole prezintă aplicația TikTok
- Aplicația colectează informații de advertising direct de pe site-urile proprii prin integrarea unor utilitare de tip TikTok Advertising, precum TikTok Pixel;
- Aplicația poate colecta un număr mare de informații despre dispozitivul utilizatorului, printre care:
- SSID Wifi,
- numărul de model al telefonului,
- seria cartelei SIM, IMEI,
- citire SMS,
- adresa MAC a dispozitivului,
- număr de telefon,
- date GPS,
- detalii despre alte conturi conectate la dispozitiv,
- acces complet la Clipboard (ceea ce poate genera riscuri de securitate cibernetică deoarece o mare parte dintre dintre aplicațiile Password Manager exploatează clipboard);
- Aplicația urmărește utilizatorii, chiar dacă aceștia au activată opțiunea Do Not Track;
- Aplicația colectează automat date precum:
- modelul dispozitivului,
- sistemul de operare,
- modele și ritmul de apăsare a tastelor,
- IP,
- locație,
- conținut urmărit,
- istoric căutări,
- caracteristici ale conținutului postal,
- profiling de gen, vârstă etc;
- Aplicația își rezervă dreptul de a partaja date cu autorități publice;
- Aplicația colectează informații despre celelalte servicii și aplicații ce sunt instalate pe dispozitiv;
- Poate efectua depanare de la distanță asupra aplicației, inclusiv executarea de noi procese;
- Execută comenzi în Webview (poate duce la încărcarea de fișiere malware pe dispozitivul care găzduiește aplicația);
- Aplicația are un browser propriu încorporat cu funcții Javascript iar orice date introduse pot fi monitorizate.
