Ator de ameaças alega violação do TikTok e coloca 428 milhões de discos à venda

Um novo agente de ameaças, conhecido pelo pseudônimo "Often9", publicou uma publicação em um importante fórum sobre crimes cibernéticos e negociação de bancos de dados, alegando possuir 428 milhões de registros únicos de usuários do TikTok. A publicação é intitulada "Violação do TikTok em 2025 – 428 milhões de linhas únicas".

A postagem do vendedor, que apareceu no fórum ontem (29 de maio de 2025), promete um conjunto de dados contendo informações detalhadas do usuário, como:

• Endereços de e-mail
• Números de telefone celular
• Biografia, URLs de avatar e links de perfil
• IDs de usuário, nomes de usuário e apelidos do TikTok
• Sinalizadores de conta como private_account, secret, verified e status ttSeller.
• Métricas visíveis publicamente, como contagens de seguidores, contagens de pessoas seguindo, contagens de curtidas, contagens de vídeos, contagens de digg e contagens de amigos.

A inclusão de campos não públicos, como endereços de e-mail, números de celular e sinalizadores internos de contas, não é algo que possa ser obtido casualmente do site público ou do aplicativo móvel do TikTok. Se esses dados forem verificados pelo TikTok como precisos e recentes, isso sugere acesso aos sistemas internos do TikTok ou a um banco de dados de terceiros exposto.

Para aumentar o peso da alegação, o agente da ameaça está disposto a trabalhar por meio de um intermediário, uma abordagem comum em fóruns criminais quando vendas de dados em larga escala exigem verificação de terceiros para construir a confiança do comprador.

Apesar do discurso de vendas chamativo do autor da ameaça, vários sinais de alerta lançam dúvidas sobre a validade da alegação. É importante ressaltar que um número significativo de entradas de amostra apresenta campos vazios ou genéricos para e-mails e números de telefone, levantando a possibilidade de que esse conjunto de dados tenha sido compilado a partir de perfis públicos coletados e organizado com base em dados antigos de vazamentos ou suposições.

O autor da ameaça é uma conta nova no fórum, que entrou há apenas alguns dias, sem reputação, nem positiva nem negativa. No mundo do crime cibernético, reputação é moeda corrente; os vendedores de grandes violações geralmente têm anos de histórico verificado ou vendas bem-sucedidas anteriores.

O próprio fórum tem um histórico recente de alegações de violação infladas ou falsas. Notavelmente, a mesma plataforma foi usada na semana passada para promover a suposta venda de dados de "1,2 bilhão de usuários do Facebook", que posteriormente foi exposta como falsa em uma investigação exclusiva do Hackread.com , levando ao banimento do vendedor.

Uma análise mais aprofundada dos dados da amostra revela que muitos campos, IDs de usuário, nomes de usuário, links de perfil e métricas de seguidores são de acesso público e podem ser obtidos por meio de operações de scraping em larga escala. Embora o scraping em larga escala ainda possa representar riscos (como campanhas de phishing ou spam), isso não equivale a uma violação de sistemas internos.

O Hackread.com também cruzou os endereços de e-mail nos dados de amostra com os registros do HaveIBeenPwned, e a maioria foi encontrada em menos de dois vazamentos de dados anteriores. Isso é alarmante e acrescenta alguma legitimidade à singularidade dos dados. No entanto, uma amostra de 1.200 linhas de uma suposta violação de 428 milhões de registros não é suficiente para estabelecer a legitimidade.

Por enquanto, essa afirmação deve ser tratada com cautela. Por mais tentadores que os números de vendas possam ser, vendedores sem reputação em fóruns de crimes cibernéticos frequentemente exageram ou inventam informações para obter lucro rápido ou atrair atenção.

Esta não é a primeira vez que um cibercriminoso alega ter violado os dados do TikTok. Em setembro de 2022, um hacker alegou ter obtido 2 bilhões de registros do TikTok , incluindo estatísticas internas, código-fonte, 790 GB de dados de usuários e muito mais, uma alegação posteriormente negada pela empresa.

Mesmo assim, o Hackread.com entrou em contato com o TikTok para obter comentários. Este artigo será atualizado em breve.