Wyciek danych z TikToka: co wiemy na temat incydentu, który mógł dotknąć setki milionów użytkowników
Wyciek danych z TikToka: co wiemy na temat incydentu, który mógł dotknąć setki milionów użytkowników
W czerwcu 2025 roku grupa cyberprzestępcza o nazwie Often9 opublikowała w darknecie fragmenty bazy danych, którą według jej deklaracji udało się pozyskać dzięki lukom w zabezpieczeniach wewnętrznego API TikToka. Hakerzy twierdzili, że zdobyli ponad 428 milionów rekordów użytkowników aplikacji na całym świecie. Do dziś trwa analiza tego, na ile te dane są autentyczne i jakie mogą być konsekwencje dla prywatności użytkowników TikToka.
Zakres wycieku
Według analiz badaczy zajmujących się bezpieczeństwem informacji (m.in. LeakBase, vx-underground i kilku niezależnych specjalistów OSINT), wyciek zawierać miał:
-
adresy e-mail użytkowników,
-
numery telefonów,
-
identyfikatory kont,
-
nazwy użytkowników,
-
linki do zdjęć profilowych,
-
ustawienia prywatności,
-
tzw. „flagi kont moderowanych” (m.in. ban, shadowban, oznaczenie dla zespołu Trust & Safety).
TikTok zaprzeczył, jakoby doszło do nieautoryzowanego dostępu do ich systemów. W oświadczeniu przesłanym m.in. do agencji Reuters i AP, rzecznik firmy stwierdził:
„Traktujemy bezpieczeństwo danych naszych użytkowników niezwykle poważnie. Na tym etapie nie mamy dowodów na naruszenie naszych systemów”.
Część niezależnych badaczy wskazuje, że niektóre z danych mogły pochodzić z tzw. publicznych zasobów (scraping), a nie z wewnętrznego włamania. Inni, jak zespół Shadowbyte, wskazują na niespójności w strukturze plików, sugerując częściową manipulację materiałem.
Konsekwencje regulacyjne: Unia Europejska i grzywna 530 mln euro
Niezależnie od aktualnego incydentu, TikTok już wcześniej znalazł się pod lupą regulatorów. W maju 2025 r. irlandzka Komisja Ochrony Danych (DPC) ogłosiła nałożenie kary w wysokości 530 milionów euro za:
-
bezprawne przekazywanie danych użytkowników UE do Chin,
-
niepoinformowanie użytkowników o tym transferze,
-
brak odpowiednich zabezpieczeń zgodnych z RODO.
Decyzja ta była pokłosiem szeroko zakrojonego dochodzenia prowadzonego od 2022 roku, które wykazało, że dane europejskich użytkowników mogły być dostępne dla pracowników spółki macierzystej ByteDance w Chinach.
TikTok zapowiedział złożenie odwołania i powołał się na realizowany program Project Clover, w ramach którego dane użytkowników z Europy mają być przetwarzane i przechowywane na terenie EOG, z kontrolą dostępu przez zewnętrznych partnerów (m.in. NCC Group).
Równoległy wyciek: chmura Azure i dane TikTok Shop
Na początku czerwca 2025 roku firma bezpieczeństwa Clario ujawniła, że niechroniona baza danych hostowana na platformie Azure zawierała dane ponad 1,6 mln klientów platformy e‑commerce TikTok Shop oraz Etsy. Zawartość obejmowała:
-
adresy e-mail,
-
imiona i nazwiska,
-
informacje o transakcjach i wysyłce.
Incydent ten nie był bezpośrednio związany z główną aplikacją TikTok, ale pokazuje skalę ryzyk związanych z powiązanymi usługami platformy.
Reakcje w USA: zagrożenie zakazem aplikacji
W Stanach Zjednoczonych kontrowersje wokół TikToka narastały od kilku lat. W 2025 r. weszła w życie ustawa PAFACA (Protecting Americans from Foreign Adversary Controlled Applications Act), która zakazuje działania TikToka na terenie USA, jeśli jego właścicielem pozostaje firma ByteDance. Administracja prezydenta Trumpa kilkakrotnie przedłużała termin wejścia zakazu w życie, dając firmie czas na sprzedaż amerykańskiej części działalności.
Aktualnie zakaz został odłożony do sierpnia 2025, jednak sytuacja może się zmienić w zależności od przebiegu śledztw dotyczących bezpieczeństwa danych.
Zalecenia dla użytkowników
Eksperci ds. cyberbezpieczeństwa, w tym CERT-EU i EFF (Electronic Frontier Foundation), zalecają użytkownikom:
-
zmianę haseł do kont powiązanych z TikTokiem, szczególnie jeśli używano ich również w innych serwisach,
-
włączenie uwierzytelniania dwuskładnikowego (2FA),
-
unikanie klikania w podejrzane linki lub wiadomości przychodzące od nieznanych osób,
-
monitorowanie aktywności konta za pomocą ustawień prywatności.
Na dzień publikacji, nie ma jednoznacznego potwierdzenia, że dane użytkowników TikToka zostały w pełni skradzione w wyniku ataku hakerskiego. Jednak skala ryzyka i liczba powiązanych incydentów – od rzekomego wycieku 428 mln rekordów, przez niechronioną chmurę Azure, po problemy regulacyjne – pokazuje, że aplikacja znajduje się w centrum globalnej debaty o prywatności, bezpieczeństwie i suwerenności danych.
🗂 ŹRÓDŁA DOTYCZĄCE WYCIĘKU 428 MLN REKORDÓW (Often9)
-
vx-underground (Twitter/X, Discord) – pierwsze zgłoszenie o wycieku przez grupę Often9
Źródło: vx-underground (kanały OSINT)
https://x.com/vxunderground -
LeakBase i Cybernews – analiza próbki wycieku:
-
weryfikacja struktury bazy danych,
-
ocena możliwego pozyskania przez scraping.
Źródło:
https://cybernews.com/news/tiktok-428-million-user-data-leak
-
-
Oświadczenie TikToka dla agencji prasowych:
-
brak dowodów na naruszenie systemów,
-
analiza trwająca wewnętrznie.
Źródło: Associated Press / Reuters / oświadczenie prasowe TikTok (przesłane do redakcji 15–17 czerwca 2025 r.)
-
🏛 ŹRÓDŁA DOTYCZĄCE GRZYWNY 530 MLN € (RODO, UE, DPC)
-
The Guardian – 2 maja 2025
Tytuł: TikTok fined €530m by Irish regulator for failing to guarantee China would not access user data
https://www.theguardian.com/technology/2025/may/02/tiktok-fined-530m-for-failing-to-protect-user-data-from-chinese-state -
TechRadar – 2 maja 2025
Tytuł: TikTok hit by €530m fine in the EU for illegally sending Europeans’ data to China
https://www.techradar.com/computing/cyber-security/tiktok-hit-by-a-eur530-million-fine-in-the-eu-for-illegally-sending-europeans-data-to-china -
AP News – 2 maja 2025
Tytuł: TikTok fined $600 million for China data transfers that broke EU privacy rules
https://apnews.com/article/d386ec74becc716905d7f686d6a448e2 -
Data Protection Commission (Irlandia) – komunikat prasowy
https://www.dataprotection.ie/en/news-media/press-releases
☁️ ŹRÓDŁA DOTYCZĄCE WYCIĘKU Z CHMURY AZURE (TikTok Shop, Etsy)
-
Clario Security – Raport, czerwiec 2025
Tytuł: 1.6 million users’ personal information exposed due to unsecured Azure instance
https://clario.co/blog/data-leak-tiktok-shop-etsy-azure/ -
Cyberint / SOCRadar / UpGuard (potwierdzenia incydentu)
Raporty nt. podatnych zasobów w chmurach publicznych (Azure Blob misconfigurations).
🇺🇸 ŹRÓDŁA DOT. ZAKAZU TIKTOKA W USA (PAFACA, polityka danych)
-
USTAWA: PAFACA – Protecting Americans from Foreign Adversary Controlled Applications Act
Tekst ustawy (U.S. Congress):
https://www.congress.gov/bill/118th-congress/house-bill/7521 -
Reuters, marzec–maj 2025 – bieżące informacje o egzekwowaniu zakazu i działaniach ByteDance
https://www.reuters.com/technology/us-tiktok-ban-deadline-extended-trump-2025-05-20/ -
New York Times / WSJ – analiza zakazu i potencjalnych przejęć amerykańskiego oddziału
https://www.nytimes.com, https://www.wsj.com
🧩 ŹRÓDŁA OGÓLNE I EKSPERCKIE
-
EFF (Electronic Frontier Foundation) – zalecenia dotyczące prywatności i praktyk ochronnych:
https://www.eff.org -
NCC Group & Project Clover (TikTok EU Trust Partners)
Informacje o programie:
https://newsroom.tiktok.com/en-eu/project-clover-data-security-europe -
CERT-EU – rekomendacje dla użytkowników indywidualnych i organizacji
https://cert.europa.eu
- Wiadomości krajowe
- Polityka
- Społeczeństwo
- Sport
- Styl życia
- Gospodarka / Biznes
- Wiadomości lokalne
- Wiadomości zagraniczne
- Kultura i Rozrywka
- Technologia
- Nauka i Zdrowie
- Motoryzacja
- Opinie i Felietony
- Wydarzenia
- Prawo i wymiar sprawiedliwości
- Świat
- Wojsko i obronność
- Kulinaria
- Porady
Twoja lokalizacja
💸 Zarabiaj z Wooble!
Polecaj Wooble znajomym i zarabiaj do 30% z każdej ich aktywności!
- 🔗 Otrzymujesz własny link partnerski
- 👥 Śledzisz kliknięcia i rejestracje
- 💰 Zarabiasz z 3 poziomów poleceń
- 📈 Wypłacaj środki kiedy chcesz
English
Deutsch
Russian
