Un acteur malveillant dénonce une violation de sécurité sur TikTok et met en vente 428 millions d'enregistrements.

Un nouvel acteur malveillant, connu sous le pseudonyme « Often9 », a publié un message sur un important forum de cybercriminalité et de trading de bases de données, affirmant posséder 428 millions d'enregistrements d'utilisateurs TikTok uniques. Son message est intitulé « Violation TikTok 2025 – 428 millions de lignes uniques ».

Le message du vendeur, apparu sur le forum hier (29 mai 2025), promet un ensemble de données contenant des informations détaillées sur l'utilisateur telles que :

• Adresses e-mail
• Numéros de téléphone portable
• Biographie, URL d'avatar et liens de profil
• Identifiants utilisateur, noms d'utilisateur et surnoms TikTok
• Indicateurs de compte tels que private_account, secret, vérifié et statut ttSeller.
• Des indicateurs visibles publiquement tels que le nombre d'abonnés, le nombre d'abonnements, le nombre de mentions « J'aime », le nombre de vidéos, le nombre de diggs et le nombre d'amis.

L'inclusion de champs non publics tels que les adresses e-mail, les numéros de téléphone portable et les indicateurs de compte internes ne peut pas être récupérée à la légère sur le site web public ou l'application mobile de TikTok. Si TikTok vérifie l'exactitude et la régularité de ces informations, cela suggère un accès aux systèmes internes de TikTok ou à une base de données tierce exposée.

Pour renforcer le poids de la réclamation, l'acteur de la menace est prêt à travailler par l'intermédiaire d'un intermédiaire, une approche courante sur les forums criminels lorsque les ventes de données à grande échelle nécessitent une vérification par un tiers pour renforcer la confiance de l'acheteur.

Malgré l'argumentaire publicitaire accrocheur de l'auteur de la menace, plusieurs signaux d'alerte mettent en doute la validité de cette affirmation. Il est important de noter qu'un nombre important d'échantillons présentent des champs vides ou génériques pour les adresses e-mail et les numéros de téléphone, ce qui laisse penser que cet ensemble de données a été constitué à partir de profils publics récupérés et organisé à partir d'anciennes données de violation ou de suppositions.

L'auteur de la menace est un nouveau compte sur le forum, inscrit depuis quelques jours seulement, sans réputation, ni positive ni négative. Dans le monde de la cybercriminalité, la réputation est une valeur sûre ; les vendeurs de failles de sécurité majeurs ont généralement des années d'historique vérifié ou de ventes réussies.

Le forum lui-même a récemment fait l'objet de fausses allégations de violation de données ou de déclarations exagérées. La semaine dernière, la même plateforme a notamment été utilisée pour promouvoir une prétendue vente de données de « 1,2 milliard d'utilisateurs Facebook », qui a ensuite été démasquée comme étant une fausse information lors d'une enquête exclusive sur Hackread.com , ce qui a conduit à l'interdiction du vendeur.

Un examen plus approfondi des données d'échantillon révèle que de nombreux champs, identifiants d'utilisateur, noms d'utilisateur, liens de profil et indicateurs d'abonnés sont accessibles au public et pourraient être obtenus par des opérations de scraping à grande échelle. Bien que le scraping à grande échelle puisse présenter des risques (comme le phishing ou les campagnes de spam), il ne constitue pas une violation des systèmes internes.

Hackread.com a également comparé les adresses e-mail des données d'échantillon avec celles de HaveIBeenPwned, et la plupart d'entre elles ont été retrouvées lors de moins de deux violations de données antérieures. Ce constat est alarmant et renforce la légitimité des données. Cependant, un échantillon de 1 200 lignes provenant d'une prétendue violation de 428 millions d'enregistrements ne suffit pas à établir la légitimité.

Pour l'instant, cette affirmation doit être considérée avec prudence. Aussi alléchants que soient les chiffres de vente, les vendeurs sans réputation sur les forums de cybercriminalité exagèrent ou inventent souvent des mensonges pour réaliser un profit rapide ou attirer l'attention.

Ce n'est pas la première fois qu'un pirate informatique prétend avoir piraté les données de TikTok. En septembre 2022, un pirate informatique a affirmé avoir acquis 2 milliards d'enregistrements TikTok , dont des statistiques internes, du code source, 790 Go de données utilisateurs, et plus encore. Cette affirmation a ensuite été démentie par l'entreprise.

Néanmoins, Hackread.com a contacté TikTok pour obtenir ses commentaires. Cet article sera mis à jour en conséquence.