contact us →

TikTok දත්ත කාන්දුවීම්: ඔබ දැනගත යුතු සියල්ල

By

Mr.Boost.lk

,

I. හැඳින්වීම: TikTok සහ ඔබේ දත්ත – ඇත්තටම වෙන්නේ මොකක්ද?

TikTok කියන්නේ අද වෙනකොට ලෝකය පුරාම, විශේෂයෙන්ම ශ්‍රී ලංකාවෙත් අතිශයින් ජනප්‍රිය සමාජ මාධ්‍ය ජාලයක්. විනෝදාස්වාදය, නව රැළි (trends), විලාසිතා විතරක් නෙවෙයි, සමහරුන්ට ප්‍රවෘත්ති දැනගන්නත් TikTok වේදිකාවක් වෙලා තියෙනවා.1 මේ ජනප්‍රියත්වයත් එක්කම, TikTok ඇතුළු සමාජ මාධ්‍ය වේදිකාවල අපේ පෞද්ගලික දත්තවල ආරක්ෂාව ගැන ලොකු කතාබහක් ඇතිවෙලා තියෙනවා. TikTok නිතරම මේ කතාබහේ කේන්ද්‍රස්ථානයක් බවට පත්වෙලා තියෙනවා.

මේ ලිපියෙන් අපි කතා කරන්න යන්නේ “දත්ත කාන්දුවක්” (data leak) සහ “දත්ත කඩකිරීමක්” (data breach) කියන්නේ මොකක්ද කියන එක ගැන සරලව තේරුම් ගන්නයි. “දත්ත කාන්දුවක්” කියන්නේ බොහෝවිට අත්වැරදීමකින්, උදාහරණයක් විදියට සර්වර් එකක වැරදි සැකසුමක් (misconfigured server) නිසා හෝ ආයතනික ප්‍රතිපත්තිමය දුර්වලතාවක් නිසා දත්ත නිරාවරණය වීමක්. “දත්ත කඩකිරීමක්” කියන්නේ සාමාන්‍යයෙන් සයිබර් ප්‍රහාරයක් මගින් අනවසර පුද්ගලයින් දත්ත වෙත ප්‍රවේශ වීමක්. TikTok සම්බන්ධයෙන් ගත්තම, ඔවුන් දත්ත හසුරුවන ආකාරය (මේ නිසා නියාමන ආයතනවල අවධානය යොමුවෙනවා) සහ බාහිර තර්ජනවලින් දත්ත ආරක්ෂා කරගන්නා ආකාරය කියන කාරණා දෙකම ගැටලුකාරී වෙලා තියෙනවා.

TikTok සතුව ඇති විශාල පරිශීලක පදනම (යුරෝපයේ පමණක් මිලියන 175ක් 2) සහ ඔවුන් රැස්කරන විවිධාකාර දත්ත (ශ්‍රව්‍ය දෘශ්‍ය, චර්යාත්මක දත්ත) නිසා, එය සයිබර් අපරාධකරුවන්ට ඉතා ආකර්ෂණීය ඉලක්කයක් බවට පත්වී තිබෙනවා වගේම, නියාමන ආයතනවල දැඩි පරීක්ෂාවටද ලක්වෙනවා.1 යම් වේදිකාවක් සතුව වැඩි දත්ත ප්‍රමාණයක් ඇති විට, දත්ත කඩකිරීමකදී සිදුවන හානියත් වැඩිවීමේ ඉඩකඩක් පවතිනවා. මේ නිසා, TikTok හි සාර්ථකත්වයම ඔවුන්ගේ දත්ත ආරක්ෂණ අභියෝගවලට සහ මහජන කනස්සල්ලට එක්තරා දුරකට හේතු වී ඇති බව පෙනී යනවා.

මේ ලිපියේ අරමුණ තමයි, මෑතකදී TikTok සම්බන්ධයෙන් වාර්තා වූ දත්ත සිදුවීම්, ඒවායේ බලපෑම සහ ශ්‍රී ලාංකික පරිශීලකයින් විදියට අපිට අපේ දත්ත ආරක්ෂා කරගන්න පුළුවන් ප්‍රායෝගික ක්‍රම මොනවද කියලා පැහැදිලි කරන එක.

II. TikTok දත්ත සිදුවීම්: මෑතකාලීන ප්‍රධාන සිදුවීම් සහ හෙළිදරව්

මෑත කාලයේදී TikTok හි දත්ත ආරක්ෂාව සහ දත්ත හැසිරවීම සම්බන්ධයෙන් වැදගත් සිදුවීම් කිහිපයක්ම වාර්තා වුණා. අපි ඒවා පැහැදිලිව තේරුම් ගනිමු.

A. යුරෝපා සංගමයේ දැවැන්ත දඩය: දත්ත පාලනය සහ චීන සබඳතා පිළිබඳ ගැටළු

2025 මැයි මාසයේදී, TikTok සමාගමට යුරෝ මිලියන 530ක (ආසන්න වශයෙන් ඇමරිකානු ඩොලර් මිලියන 600ක) දැවැන්ත දඩයක් අයර්ලන්තයේ දත්ත ආරක්ෂණ කොමිසම (DPC) විසින් නියම කළා. TikTok හි ප්‍රධාන යුරෝපා සංගම් නියාමකයා වන්නේ මෙම DPC ආයතනයයි.3

මෙම දඩය නියම කිරීමට හේතු වුණේ:

  1. චීනයට නීති විරෝධී ලෙස දත්ත මාරු කිරීම: යුරෝපා සංගමයේ සාමාන්‍ය දත්ත ආරක්ෂණ රෙගුලාසිය (GDPR) යටතේ සහතික කර ඇති මට්ටමට සමාන ආරක්ෂාවක් සහතික නොකර, TikTok විසින් යුරෝපීය පරිශීලකයින්ගේ දත්ත චීනයට මාරු කර ඇති බවට DPC ආයතනය තීරණය කළා. මේ නිසා පරිශීලකයින් ඔත්තු බැලීමේ අවදානමකට ලක්වන බව ඔවුන් පෙන්වා දුන්නා.3 විශේෂයෙන්ම, චීනයේ ත්‍රස්ත විරෝධී, ප්‍රති-ඔත්තුසේවා වැනි නීති යුරෝපා සංගම් ප්‍රමිතීන්ගෙන් “සැලකිය යුතු ලෙස වෙනස්” වන බව DPC ආයතනය සඳහන් කළා.3
  2. පාරදෘශ්‍යභාවය නොමැතිකම: TikTok පරිශීලකයින්ගේ දත්ත චීනයට යවන බවත්, එහි සිටින කාර්ය මණ්ඩලය විසින් එම දත්ත වෙත දුරස්ථව ප්‍රවේශ වන බවත් පරිශීලකයින්ට පැහැදිලිව දැනුම් දී තිබුණේ නැහැ.3 එම කාලවකවානුවේදී ඔවුන්ගේ පෞද්ගලිකත්ව ප්‍රතිපත්තියේ (privacy policy) දත්ත මාරු කරන රටක් ලෙස චීනය නම් කර තිබුණේත් නැහැ.3
  3. සාවද්‍ය තොරතුරු සැපයීම: DPC ආයතනය සමඟ පැවති විමර්ශනයේදී, TikTok මුලින් ප්‍රකාශ කර තිබුණේ යුරෝපීය පරිශීලකයින්ගේ දත්ත චීන සර්වර්වල ගබඩා නොකරන බවයි. නමුත් පසුව, 2025 අප්‍රේල් මාසයේදී, ඇතැම් දත්ත එසේ ගබඩා කර තිබූ බව ඔවුන් පිළිගත්තා.3 මෙය නියාමන ආයතන ඉතා බරපතල කාරණයක් ලෙස සලකනවා.

TikTok හි මව් සමාගම වන ByteDance චීන සමාගමක් වීම, මෙම නියාමන ක්‍රියාමාර්ගවලදී නිතරම අවධානයට ලක්වන කරුණක්.1 චීනයේ පවතින ජාතික ආරක්ෂක නීති මගින් සමාගම්වලට දත්ත බෙදාගැනීමට බල කළ හැකි බවට බියක් පවතිනවා. යුරෝපා සංගමයේ දඩය, හුදෙක් තාක්ෂණික GDPR අනුකූලතාව පිළිබඳ ප්‍රශ්නයක් පමණක් නොව, චීනයේ දත්ත වෙත ප්‍රවේශය පිළිබඳ භූ-දේශපාලනික කනස්සල්ල සමඟ ගැඹුරින් සම්බන්ධ වී ඇති බව පෙනී යනවා.

TikTok හි ප්‍රතිචාරය සහ “Project Clover”:

TikTok සමාගම මෙම තීරණයට එකඟ නොවන බවත්, එයට එරෙහිව අභියාචනය කිරීමට සැලසුම් කරන බවත් ප්‍රකාශ කළා.2 ඔවුන් තර්ක කරන්නේ DPC තීරණය අවධානය යොමු කරන්නේ “Project Clover” නම් ඔවුන්ගේ යුරෝ බිලියන 12ක දත්ත දේශීයකරණ ව්‍යාපෘතිය ආරම්භ කිරීමට පෙර කාල පරිච්ඡේදයක් වෙත බවයි. මෙම ව්‍යාපෘතිය මගින් යුරෝපීය පරිශීලකයින්ගේ දත්ත යුරෝපයේ පිහිටි දත්ත මධ්‍යස්ථානවල (ෆින්ලන්තයේ නව දත්ත මධ්‍යස්ථානයක් ඇතුළුව) NCC Group නම් ස්වාධීන ආයතනයක අධීක්ෂණය යටතේ ගබඩා කිරීමට නියමිතයි.2

TikTok තවදුරටත් කියා සිටින්නේ, චීන බලධාරීන්ගෙන් යුරෝපීය පරිශීලක දත්ත සඳහා කිසිදු ඉල්ලීමක් තමන්ට ලැබී නැති බවත්, එවැනි දත්ත ලබා දී නැති බවත්ය.2 ඔවුන් පවසන්නේ තවත් දහස් ගණනක් සමාගම් භාවිතා කරන නෛතික යාන්ත්‍රණ (Standard Contractual Clauses) තමන්ද භාවිතා කළත්, තමන්ව “වෙන්කර හඳුනාගෙන” ඇති බවයි.2

කෙසේ වෙතත්, DPC ආයතනය “Project Clover” ව්‍යාපෘතිය පිළිගත් නමුත්, අතීතයේ සිදු වූ ක්‍රියා සම්බන්ධයෙන් තම තීරණය වෙනස් කිරීමට එය ප්‍රමාණවත් නොවන බව ප්‍රකාශ කළා.4 නියාමන විමර්ශනය 2021 සැප්තැම්බර් මාසයේදී ආරම්භ වූ අතර 3, “Project Clover” ව්‍යාපෘතිය ඊට පසුව ආරම්භ වූවක්. 2025 මැයි මාසයේදී දඩය නියම වූයේ 2023 මැයි මාසය දක්වා වූ ක්‍රියාකාරකම් සඳහායි. මින් ගම්‍ය වන්නේ, TikTok වෙනස්කම් සිදු කරමින් සිටියද, නියාමකයින් ඔවුන්ව ඓතිහාසික අතපසුවීම් සඳහා වගකිවයුතු බවට පත් කරන බවයි. ගෝලීය සමාගම් සඳහා, අනාගත ආරක්ෂාව පිළිබඳ පොරොන්දු දීම පමණක් අතීත දත්ත වැරදි කළමනාකරණයෙන් ඔවුන්ව නිදහස් නොකරන බව මෙයින් පෙනී යනවා.

මෙය DPC ආයතනය විසින් GDPR උල්ලංඝනය කිරීම් සඳහා නියම කළ තුන්වන විශාලතම දඩය වීමද විශේෂත්වයක්.4 මීට පෙර 2023 වසරේදීද, ළමා පෞද්ගලිකත්වය උල්ලංඝනය කිරීම සම්බන්ධයෙන් TikTok සමාගමට දඩ නියම වී තිබුණා.1

B. හැකර්වරුන්ගේ ප්‍රහාර සහ දත්ත සොරාගැනීම් පිළිබඳ චෝදනා

නියාමන ක්‍රියාමාර්ගවලට අමතරව, හැකර්වරුන් විසින් TikTok වෙත ප්‍රහාර එල්ල කළ බවට සහ දත්ත සොරාගත් බවට විවිධ චෝදනාද එල්ල වුණා.

  • “Often9″ චෝදනාව (2025 මැයි) 6:”Often9” නම් හැකර්වරයෙකු විසින් TikTok පරිශීලකයින් මිලියන 428කගේ අනන්‍ය දත්ත (ඊමේල්, දුරකථන අංක, ගිණුම් විස්තර, පොදු මිතික – follower සංඛ්‍යා වැනි) සයිබර් අපරාධ වෙබ් අඩවියක විකිණීමට ඇති බවට ප්‍රකාශ කළා. මෙම දත්ත TikTok හි අභ්‍යන්තර API එකක පැවති දුර්වලතාවක් හරහා, එය නිවැරදි කිරීමට පෙර ලබාගත් බවත්, මෙය සාමාන්‍ය public scraping ක්‍රමයකට වඩා බරපතල බවත් “Often9” ප්‍රකාශ කළා.මෙම වෙබ් අඩවිය මීට පෙරද ව්‍යාජ ප්‍රකාශ පළ කර තිබීම නිසා මෙම චෝදනාව ගැන යම් සැකයක් පැවතුණත්, නියැදි දත්තවල තිබූ ඊමේල් ලිපින HaveIBeenPwned වැනි සේවාවල පරීක්ෂා කිරීමේදී ඒවා මීට පෙර සුළු දත්ත කඩකිරීම් සංඛ්‍යාවක පමණක් පෙනී සිටීම, චෝදනාවට යම් (සීමිත) සත්‍යතාවක් එක් කළා. TikTok ප්‍රකාශ කළේ ඔවුන් මේ පිළිබඳව විමර්ශනය කරන බවයි.
  • “R00TK1T ISC CYBER TEAM” චෝදනාව (2025 අප්‍රේල්) 7:මෙම හැකර් කණ්ඩායම TikTok පරිශීලකයින් 927,000 කට අධික සංඛ්‍යාවකගේ ගිණුම් තොරතුරු සොරකම් කළ බවටත්, ඇතැම් ගිණුම් මකා දැමූ බවටත් චෝදනා කළා. TikTok හි මව් සමාගම වන ByteDance තම අනතුරු ඇඟවීම් නොසලකා හැරි බවද ඔවුන් ප්‍රකාශ කළා. මෙම කණ්ඩායම malware, rootkits, සමාජ ඉංජිනේරු විද්‍යාව, phishing වැනි ක්‍රම භාවිතා කරන බවට ප්‍රසිද්ධයි.කෙසේ වෙතත්, R00TK1T කණ්ඩායම තම ප්‍රහාරවල පරිමාණය අතිශයෝක්තියට නංවා ප්‍රකාශ කිරීම සම්බන්ධයෙන්ද ප්‍රසිද්ධියක් උසුලන නිසා, මෙම චෝදනාවේ සත්‍යතාව තහවුරු වී නැහැ.
  • “AgainstTheWest” චෝදනාව (2022 සැප්තැම්බර්/2023) 8:මෙම හැකර්වරයා TikTok හි ආරක්ෂාව කඩකර සංවේදී පරිශීලක දත්ත වෙත ප්‍රවේශ වූ බවට චෝදනා කළා.නමුත් TikTok මෙම චෝදනාව ප්‍රතික්ෂේප කරමින් කියා සිටියේ අදාළ දත්ත ප්‍රසිද්ධියේ ලබාගත හැකි ඒවා බවත්, තම පද්ධතිවලට හානියක් වී නොමැති බවත්ය.

මෙවැනි හැකර් කණ්ඩායම්වලින් එල්ලවන නාටකීය දත්ත කඩකිරීම් පිළිබඳ චෝදනා සහ TikTok වෙතින් ඒවා ප්‍රතික්ෂේප කිරීම හෝ සැක පහළ කිරීම නිතර දක්නට ලැබෙන දෙයක්.6 මේ නිසා පරිශීලකයින් අතර ව්‍යාකූලත්වයක් ඇතිවෙනවා. “Often9” විසින් API දුර්වලතාවක් ගැන කළ විශේෂිත තාක්ෂණික ප්‍රකාශය, සාමාන්‍ය චෝදනාවලට වඩා බරපතල ලෙස විමර්ශනය කළ යුතු එකක් ලෙස පෙනී යනවා, එහි පරිමාණය අතිශයෝක්තියක් වුවද.

  • TikTok Shop දත්ත නිරාවරණය (2025 මැයි) 9: මෙය TikTok වෙත එල්ල වූ සෘජු හැකර් ප්‍රහාරයක් නොවුණත්, TikTok Shop පරිශීලකයින්ට බලපෑම් එල්ල කළ සිදුවීමක්. Etsy, Poshmark සහ TikTok Shop පාරිභෝගිකයින් මිලියන 1.6 දෙනෙකුගේ ලිපිගොනු (සම්පූර්ණ නම්, නිවෙස් ලිපින, ඊමේල් ලිපින, නැව්ගත කිරීමේ ඇණවුම් විස්තර) අනාරක්ෂිත Azure Blob Storage ගබඩා දෙකක තිබී සොයාගනු ලැබුවා. මෙම දත්ත බොහෝදුරට මෙම වේදිකා හරහා ව්‍යාපාර කළ තෙවන පාර්ශවීය වෙළෙන්දෙකුට, විශේෂයෙන් වියට්නාමයේ පිහිටි එම්බ්‍රොයිඩරි සේවාවකට අයත් ඒවා විය හැකි බවට විශ්වාස කෙරෙනවා.9 මෙයින් පෙනී යන්නේ TikTok වැනි වේදිකා විවිධ සේවාවන් (විද්‍යුත් වාණිජ්‍යය වැනි) තම වේදිකාවට ඒකාබද්ධ කරන විට, ඔවුන්ගේ තෙවන පාර්ශවීය වෙළෙන්දන්ගේ දත්ත ආරක්ෂණ දුර්වලතා තමන්ටත් බලපාන ආකාරයයි. පරිශීලකයින්ගේ දත්ත, TikTok හි මූලික පද්ධති සුරක්ෂිත වුවද, මෙවැනි තෙවන පාර්ශවීය දුර්වලතා නිසා අනතුරට ලක්විය හැකියි. එමනිසා, සැපයුම් දාමයේ (supply chain) ආරක්ෂාව විශාල වේදිකාවලට ඉතා වැදගත් සහ වර්ධනය වන ගැටලුවක්.

C. අභ්‍යන්තර සිදුවීම් සහ වෙනත් මතභේදාත්මක කරුණු

බාහිර ප්‍රහාරවලට අමතරව, TikTok ආයතනය තුළම සිදු වූ ඇතැම් සිදුවීම්ද දත්ත ආරක්ෂාව සහ පෞද්ගලිකත්වය පිළිබඳ බරපතල ප්‍රශ්න මතු කළා.

  • ByteDance සේවකයින් වාර්තාකරුවන්ට ඔත්තු බැලීම (2022 දෙසැම්බර්) 1:TikTok හි මව් සමාගම වන ByteDance හි සේවකයින්, සමාගම තුළින් තොරතුරු කාන්දු වූ මූලාශ්‍ර හඳුනාගැනීම සඳහා මාධ්‍යවේදීන්ගේ IP ලිපින නිරීක්ෂණය කරමින් ඔත්තු බැලූ බව හෙළිදරව් වුණා. මේ හේතුවෙන් සේවකයින් හතර දෙනෙකු සේවයෙන් පහ කරනු ලැබුවා. මෙමගින් ආයතනික සේවකයින් විසින් දත්ත අනිසි ලෙස භාවිතා කිරීම පිළිබඳ බරපතල ආචාරධාර්මික ප්‍රශ්න මතු වුණා.
  • චීන සේවකයින් ඇමරිකානු පරිශීලක දත්ත වෙත ප්‍රවේශ වීම (2022 ජූනි, 2023 ට බලපෑම් කරමින්) 1:TikTok හි චීන සේවකයින් ඇමරිකානු පරිශීලකයින්ගේ දත්ත වෙත ප්‍රවේශ වී ඇති බවට වාර්තා පළවුණා. මෙය TikTok මීට පෙර ලබා දී තිබූ සහතිකවලට පටහැනි වුණා. එක් ප්‍රධාන පෙළේ සේවකයෙකු “සෑම දෙයක්ම චීනයේ සිට දැකිය හැකියි” (“Everything is seen in China”) යනුවෙන් ප්‍රකාශ කළ බවද වාර්තා වුණා.1 මෙමගින් TikTok හි දත්ත පෞද්ගලිකත්ව සහතික පිළිබඳ විශ්වාසය පළුදු වූ අතර, ජාත්‍යන්තර දත්ත ප්‍රවේශය පිළිබඳ ගැටලු මතු කළා.

මෙවැනි අභ්‍යන්තර සිදුවීම්, විශේෂයෙන්ම ByteDance සේවකයින් මාධ්‍යවේදීන්ට ඔත්තු බැලීම සහ චීන සේවකයින් ඇමරිකානු දත්ත වෙත ප්‍රවේශ වීම වැනි දෑ, බාහිර හැකර් ප්‍රහාරවලට වඩා විශ්වාසය කඩකිරීමට හේතු වෙනවා. මන්ද, මෙහිදී ප්‍රශ්නය මතුවන්නේ බාහිර තර්ජනයකින් නොව, ආයතනය තුළම හෝ මව් සමාගමේ ක්‍රියාකලාපය නිසයි. මෙය TikTok චීන සබඳතා නිසා විශ්වාස කළ නොහැකි බවට වන පුළුල් කතිකාවතට සෘජුවම දායක වෙනවා. පරිශීලකයින්ට සාමාන්‍ය ආරක්ෂක ක්‍රම (මුරපද, MFA) මගින් මෙවැනි අභ්‍යන්තර තර්ජනවලින් ආරක්ෂා වීම අපහසුයි. එමනිසා, මෙම සිදුවීම් බාහිර දත්ත කඩකිරීම්වලට වඩා ගැඹුරු විශ්වාස හිඟයක් ඇති කරනවා, මන්ද ඒවා සමාගම හෝ එහි මව් සමාගම තුළ පවතින පද්ධතිමය හෝ සංස්කෘතික ගැටලු පෙන්වා දෙන නිසයි.

  • සාමාන්‍ය දත්ත රැස්කිරීමේ පිළිවෙත් 1: බොහෝ යෙදුම් මෙන්ම TikTok ද පරිශීලකයින්ගෙන් පුළුල් පරාසයක දත්ත (දුරකථන අංක, චර්යාත්මක තොරතුරු) රැස්කරනවා. විවේචකයින් පෙන්වා දෙන්නේ, TikTok හි චීන හිමිකාරිත්වය සහ චීනයේ ජාතික බුද්ධි නීතියේ (National Intelligence Law) බලපෑම (TikTok මෙය තමන්ට දත්ත බෙදාගැනීමට බලකරන අයුරින් අදාළ නොවන බව ප්‍රතික්ෂේප කළත්) නිසා මෙය විශේෂ අවධානයට ලක්විය යුතු බවයි. Forbes සඟරාව පෙන්වා දුන්නේ මෙම දත්ත මගින් චීනයට “සියලුම පරිශීලකයින් සඳහා සම්පූර්ණ පරිශීලක පැතිකඩක්” නිර්මාණය කිරීමට ඉඩ සැලසෙන බවයි.1

පහත දැක්වෙන්නේ මෑතකාලීන TikTok දත්ත සිදුවීම් පිළිබඳ සාරාංශගත වගුවක්:

වගුව 1: මෑතකාලීන TikTok දත්ත සිදුවීම් සාරාංශය

සිදුවීමේ ස්වභාවය (Incident Type)දිනය (Date – Approx.)ප්‍රධාන තොරතුරු (Key Details)TikTok හි ප්‍රතිචාරය/ක්‍රියාමාර්ගය (TikTok’s Stated Position/Action)අදාළ මූලාශ්‍ර (Relevant Snippets)
නියාමන දඩය (Regulatory Fine)2025 මැයි (May 2025)EU GDPR: අයර්ලන්ත DPC වෙතින් යුරෝ මිලියන 530ක දඩයක්. EU-චීන දත්ත හුවමාරුව, විනිවිදභාවය නොමැතිකම.තීරණයට එකඟ නොවේ, අභියාචනය කිරීමට සැලසුම් කරයි. “Project Clover” පෙන්වා දෙයි.Click here
හැකර් චෝදනාව (“Often9”) (Alleged Hack “Often9”)2025 මැයි (May 2025)මිලියන 428ක පරිශීලක වාර්තා (ඊමේල්, දුරකථන අංක) විකිණීමට ඇතැයි චෝදනාව. API දුර්වලතාවක් හරහා ලබාගත් බවට සැකයක්.චෝදනාව විමර්ශනය කරමින් පවතී.Click here
හැකර් චෝදනාව (“R00TK1T”) (Alleged Hack “R00TK1T”)2025 අප්‍රේල් (April 2025)927,000+ පරිශීලක ගිණුම් තොරතුරු සොරකම් කිරීම සහ ගිණුම් මකාදැමීම් පිළිබඳ චෝදනාව.නිල ප්‍රතිචාරයක් නැත (විශේෂයෙන් මෙම චෝදනාවට).Click here
තෙවන පාර්ශවීය දත්ත නිරාවරණය (TikTok Shop) (Third-Party Data Exposure – TikTok Shop)2025 මැයි (May 2025)මිලියන 1.6ක ලිපිගොනු (නම්, ලිපින, ඊමේල්) අනාරක්ෂිත Azure ගබඩාවක තිබී හමුවීම. තෙවන පාර්ශවීය වෙළෙන්දෙකුට සම්බන්ධ විය හැක.නිල ප්‍රතිචාරයක් නැත (විශේෂයෙන් මෙම සිදුවීමට).click here
අභ්‍යන්තර සිදුවීම (Internal Incident)2022 දෙසැම්බර් (Dec 2022)ByteDance සේවකයින් වාර්තාකරුවන්ට ඔත්තු බැලීම.සේවකයින් සේවයෙන් පහ කර ඇත.Click here

මෙම වගුව මගින් විවිධ කාලවලදී සිදු වූ, විවිධ පාර්ශවකරුවන් සම්බන්ධ වූ සහ විවිධ දත්ත වර්ගවලට බලපෑ මෙම සිදුවීම් පිළිබඳ පැහැදිලි, සංක්ෂිප්ත සහ සැසඳිය හැකි සාරාංශයක් ලබා දෙනවා. එමගින් TikTok මුහුණ දෙන දත්ත ආශ්‍රිත අභියෝගවල විවිධත්වය සහ පුළුල් බව තේරුම් ගැනීමට පාඨකයාට උපකාරී වෙනවා.

III. මෙම දත්ත කාන්දුවීම් ඔබට බලපාන්නේ කෙසේද?

TikTok හෝ වෙනත් ඕනෑම වේදිකාවක දත්ත කාන්දුවීමක් හෝ කඩකිරීමක් සිදු වූ විට, එය සාමාන්‍ය පරිශීලකයින් වන අපට විවිධාකාරයෙන් බලපෑම් එල්ල කළ හැකියි.

  • පුද්ගලික අනන්‍යතාවය සොරකම් කිරීම (Identity Theft): ඔබගේ නම, ලිපිනය, ඊමේල් ලිපිනය, දුරකථන අංකය වැනි තොරතුරු 6 කාන්දු වුවහොත්, අපරාධකරුවන්ට ඔබ ලෙස පෙනී සිටිමින් ව්‍යාජ ගිණුම් විවෘත කිරීමට, ඔබගේ නමින් වෙනත් අපරාධ සිදුකිරීමට හෝ ණය ලබාගැනීමට හැකියාව ලැබෙනවා.
  • මූල්‍ය වංචා (Financial Fraud): ගෙවීම් විස්තර හෝ මූල්‍ය ගිණුම් වෙත ප්‍රවේශ විය හැකි තොරතුරු නිරාවරණය වුවහොත්, ඔබට සෘජු මූල්‍යමය පාඩු සිදුවිය හැකියි. මූල්‍යමය නොවන දත්ත වුවද, පරිශීලකයින් රවටා මූල්‍ය තොරතුරු හෙළිකරවා ගැනීමට යොදාගත හැකි සංකීර්ණ වංචාවන් සඳහා භාවිතා කළ හැකියි.
  • ගිණුම් පැහැරගැනීම් (Account Takeover): කාන්දු වූ ගිණුම් තොරතුරු (credentials) 6 භාවිතා කරමින් ප්‍රහාරකයින්ට ඔබගේ TikTok ගිණුම මෙන්ම, ඔබ එකම මුරපදය වෙනත් ගිණුම් සඳහාද භාවිතා කරන්නේ නම්, එම ගිණුම්ද පැහැරගත හැකියි. පැහැරගත් ගිණුම් වැරදි තොරතුරු හෝ වංචනික ක්‍රියා ව්‍යාප්ත කිරීමට යොදාගත හැකියි.8
  • ඉලක්කගත වංචා සහ ෆිෂින් ප්‍රහාර (Targeted Scams and Phishing Attacks): ඔබගේ පෞද්ගලික තොරතුරු කාන්දු වූ විට, ෆිෂින් ප්‍රහාර වඩාත් ඒත්තු ගැන්වෙන සුළු වෙනවා. ප්‍රහාරකයින්ට ඔබගේ නම, ඇණවුම් ඉතිහාසය (TikTok Shop දත්ත කාන්දුවෙන් 9) හෝ වෙනත් දත්ත භාවිතා කරමින්, නීත්‍යානුකූල බවක් පෙන්වන පුද්ගලීකරණය කළ වංචා නිර්මාණය කළ හැකියි.9
  • අනිසි තොරතුරු ව්‍යාප්ත කිරීම සහ බලපෑම් කිරීමේ මෙහෙයුම් (Spread of Misinformation and Influence Operations): පරිශීලක දත්ත සෘජුවම කාන්දු වීමෙන් ඔබ්බට ගොස්, පැහැරගත් ගිණුම් හෝ රැස්කරගත් දත්ත මගින් පරිශීලක චර්යාවන් අවබෝධ කරගැනීම 1 තුළින් ව්‍යාජ ප්‍රවෘත්ති පැතිරවීමට හෝ මහජන මතය හැසිරවීමට යොදාගත හැකියි. RAND ආයතනයේ වාර්තාවක deepfake නිර්මාණය කිරීමේ අවදානම ගැනද සඳහන් වෙනවා.1
  • පෞද්ගලිකත්වයට හානිවීම (Violation of Privacy): කිසිදු මූල්‍යමය හානියක් සිදු නොවුණත්, පෞද්ගලික තොරතුරු, පෞද්ගලික පණිවිඩ හෝ ගිණුම් තත්ත්වයන් 6 නිරාවරණය වීම පෞද්ගලිකත්වයට හානියක් වන අතර මානසික පීඩනයක් ඇති කළ හැකියි.
  • ආයතනික ගිණුම් සහ කීර්තිනාමයට හානි (For Business Accounts – Reputational Damage): ව්‍යාපාරික හෝ ජනප්‍රිය පුද්ගලයින්ගේ (influencer) ගිණුම් පැහැරගැනීමට ලක්වුවහොත්, එය ඔවුන්ගේ කීර්තිනාමයට හානි පමුණුවන අතර මූල්‍යමය පාඩුද ඇති කළ හැකියි.8

මෙවැනි දත්ත නිරාවරණයකදී, එක් තොරතුරක් (උදා: ඊමේල් ලිපිනයක් 6) සුළු දෙයක් ලෙස පෙනුනත්, ප්‍රහාරකයින් අතට පත් වූ විට, එය වෙනත් පොදුවේ ලබාගත හැකි දත්ත හෝ වෙනත් දත්ත කඩකිරීම්වලින් ලබාගත් දත්ත සමඟ ඒකාබද්ධ කර පුද්ගලයෙකුගේ සවිස්තරාත්මක පැතිකඩක් ගොඩනැගීමට යොදාගත හැකියි. මෙම පැතිකඩ පසුව වඩාත් සංකීර්ණ සහ සාර්ථක ප්‍රහාර (පුද්ගලික අනන්‍යතාවය සොරකම් කිරීම, ඉලක්කගත ෆිෂින්) සඳහා මග පාදනවා. එමනිසා, එක් දත්ත කාන්දුවක බලපෑම, වෙනත් දත්ත සමඟ සංයෝජනය වූ විට තවත් වැඩි විය හැකි අතර, එය දාම ප්‍රතික්‍රියාවක් සේ අවදානම් මාලාවක් නිර්මාණය කරනවා.

මූල්‍යමය පාඩු වැනි ද්‍රව්‍යමය හානිවලට අමතරව, දත්ත කඩකිරීම් නිසා මානසික ආතතිය, අනාගත ප්‍රහාර පිළිබඳ කනස්සල්ල සහ ඩිජිටල් වේදිකා කෙරෙහි ඇති විශ්වාසය පළුදු වීම වැනි තත්ත්වයන්ද ඇති වෙනවා.8 මෙය ප්‍රමාණාත්මකව මැනිය නොහැකි වුවත්, පරිශීලකයින්ට සැලකිය යුතු බලපෑමක් ඇති කරනවා.

IV. ඔබේ TikTok ගිණුම සහ දත්ත ආරක්ෂා කරගන්නේ කෙසේද?

අපගේ TikTok ගිණුමේ සහ අනෙකුත් ඔන්ලයින් ගිණුම්වල දත්ත ආරක්ෂා කරගැනීම සඳහා අපට ගත හැකි ප්‍රායෝගික ක්‍රියාමාර්ග කිහිපයක් තිබෙනවා. මේවා අනුගමනය කිරීමෙන් අවදානම සැලකිය යුතු ලෙස අඩු කරගත හැකියි.

  • ශක්තිමත්, අනන්‍ය මුරපද (Strong, Unique Passwords): සෑම ඔන්ලයින් ගිණුමක් සඳහාම වෙනස්, සංකීර්ණ මුරපද භාවිතා කිරීම ඉතා වැදගත්.8 මෙහි වැදගත්කම වන්නේ, එක් ගිණුමක් අනතුරට ලක් වුවද, අනෙක් ගිණුම් ආරක්ෂිතව පැවතීමයි. මුරපද කළමනාකරණ මෘදුකාංග (password managers) මේ සඳහා ප්‍රයෝජනවත් මෙවලමක්.
  • ද්වි-සාධක සත්‍යාපනය (Two-Factor Authentication – MFA): TikTok ඇතුළු ඔබගේ වැදගත් ගිණුම් සියල්ල සඳහාම ද්වි-සාධක සත්‍යාපනය (MFA) සක්‍රීය කිරීම තරයේ නිර්දේශ කෙරෙනවා.7 මෙය ඔබගේ මුරපදයට අමතරව තවත් ආරක්ෂක ස්ථරයක් එක් කරන ක්‍රමවේදයක්.
  • සැකකටයුතු ලින්ක් සහ පණිවිඩ ගැන සැලකිලිමත් වන්න (Be Wary of Suspicious Links and Messages): නාඳුනන හෝ සැකකටයුතු පණිවිඩවල එන ලින්ක් ක්ලික් කිරීමෙන් හෝ ඇමුණුම් බාගත කිරීමෙන් වළකින්න. ඒවා TikTok වෙතින් හෝ ඔබ දන්නා අයෙකුගෙන් ලැබුණු බවක් පෙනුනත්, ඒවා ෆිෂින් ප්‍රහාර විය හැකියි.1
  • TikTok හි පෞද්ගලිකත්ව සැකසුම් සමාලෝචනය කරන්න (Review Privacy Settings on TikTok): ඔබගේ අන්තර්ගතය නැරඹිය හැක්කේ කාටද, ඔබට පණිවිඩ යැවිය හැක්කේ කාටද වැනි කරුණු පාලනය කිරීම සඳහා TikTok හි පෞද්ගලිකත්ව සැකසුම් නිතර පරීක්ෂා කර අවශ්‍ය පරිදි සකස් කරගන්න.1
  • ගිණුමේ ක්‍රියාකාරකම් නිරීක්ෂණය කරන්න (Monitor Account Activity): ඔබගේ ගිණුමට නාඳුනන පිවිසීම් (logins), ඔබ පළ නොකළ පෝස්ට් හෝ ඔබගේ පැතිකඩෙහි සිදු වූ වෙනස්කම් වැනි සැකකටයුතු ක්‍රියාකාරකම් පිළිබඳව විමසිලිමත් වන්න.8
  • යෙදුම් අවසර (App Permissions): ඔබගේ දුරකථනයේ TikTok යෙදුමට (සහ අනෙකුත් යෙදුම්වලට) ලබා දී ඇති අවසර මොනවාදැයි පරීක්ෂා කර, අනවශ්‍ය අවසර ඉවත් කරන්න.
  • මෘදුකාංග යාවත්කාලීන කිරීම (Keep Software Updated): නවතම ආරක්ෂක යාවත්කාලීන කිරීම් (security patches) ලබාගැනීම සඳහා TikTok යෙදුම සහ ඔබගේ දුරකථනයේ මෙහෙයුම් පද්ධතිය නිතර යාවත්කාලීන කර තබාගන්න.
  • පොදු Wi-Fi භාවිතයේදී ප්‍රවේශම් වන්න (Be Cautious on Public Wi-Fi): අනාරක්ෂිත පොදු Wi-Fi ජාල හරහා සංවේදී ගිණුම්වලට පිවිසීමෙන් හෝ පෞද්ගලික තොරතුරු බෙදාගැනීමෙන් වළකින්න.
  • HaveIBeenPwned වැනි සේවා භාවිත කරන්න (Use Services like HaveIBeenPwned): ඔබගේ ඊමේල් ලිපිනය දැනටමත් හඳුනාගෙන ඇති දත්ත කඩකිරීම්වලට හසුවී ඇත්දැයි පරීක්ෂා කර බැලීම සඳහා HaveIBeenPwned වැනි සේවාවන් භාවිතා කිරීම නිර්දේශ කෙරෙනවා.6

TikTok වැනි වේදිකා පරිශීලක දත්ත සුරක්ෂිත කිරීමේ මූලික වගකීම දැරුවද, පරිශීලකයින් වන අපටද වැදගත් කාර්යභාරයක් පැවරෙනවා. බොහෝ දත්ත කඩකිරීම් සිදුවන්නේ පරිශීලකයින්ගේ දුර්වල පුරුදු (උදා: දුර්වල/නැවත භාවිතා කරන මුරපද, ෆිෂින් ප්‍රහාරවලට හසුවීම) නිසායි. ඉහත සඳහන් උපදෙස් පිළිපැදීමෙන්, ආරක්ෂාවේ අපට අයිති කොටස ඉටුකිරීමට අපට හැකියාව ලැබෙනවා. මෙම ආරක්ෂක ක්‍රමවේද එක් වරක් පමණක් සිදුකළ යුතු දේවල් නොව, නිරන්තරයෙන් අනුගමනය කළ යුතු පුරුදු බවට පත්කරගත යුතුයි. තර්ජන නිරන්තරයෙන් වෙනස් වන නිසා, සැකසුම් නිතර සමාලෝචනය කිරීම, යාවත්කාලීනව සිටීම සහ නිරන්තරයෙන් විමසිලිමත් වීම අත්‍යවශ්‍යයි.

V. ශ්‍රී ලංකාවේ පරිශීලකයින් සඳහා විශේෂ උපදෙස්

ගෝලීය වශයෙන් බලපාන දත්ත ආරක්ෂණ ගැටලුවලට අමතරව, ශ්‍රී ලාංකික පරිශීලකයින් වන අපට විශේෂයෙන් අදාළ වන කරුණු සහ දේශීය වශයෙන් ලබාගත හැකි සහයෝගය පිළිබඳවද දැනුවත් වීම වැදගත්.

  • Sri Lanka CERT (ශ්‍රී ලංකා CERT ආයතනයේ උපදෙස්): ශ්‍රී ලංකා පරිගණක හදිසි ප්‍රතිචාර සංසදය (Sri Lanka CERT) යනු ශ්‍රී ලංකාවේ ජාතික සයිබර් ආරක්ෂණ අධිකාරියයි.11 ඔවුන් සමාජ මාධ්‍ය සහ WhatsApp වැනි සන්නිවේදන ජාල හරහා පැතිරෙන ව්‍යාජ පණිවිඩ පිළිබඳව මහජනතාව දැනුවත් කර තිබෙනවා. මෙම පණිවිඩ බොහෝවිට බැංකු, වාණිජ ආයතන වැනි පිළිගත් ආයතන ලෙස පෙනී සිටිමින් පෞද්ගලික සහ මූල්‍ය තොරතුරු ලබාගැනීමට උත්සාහ කරනවා.12 විශේෂයෙන්ම, OTP (One-Time Passwords) ඉල්ලා එවනු ලබන පණිවිඩ පිළිබඳව සැලකිලිමත් වන ලෙස CERT ආයතනය උපදෙස් දෙනවා. මන්ද, OTP අංකයක් ලබාදීමෙන් ප්‍රහාරකයින්ට ඔබගේ ගිණුම් වෙත ප්‍රවේශ වීමට ඉඩ සැලසෙනවා.12 කිසියම් පණිවිඩයක සත්‍යතාව පිළිබඳ සැකයක් ඇත්නම්, අදාළ ආයතනවල නිල වෙබ් අඩවි පරීක්ෂා කිරීමෙන් හෝ ඔවුන්ව සෘජුවම සම්බන්ධ කරගැනීමෙන් එය තහවුරු කරගන්නා ලෙස ඔවුන් උපදෙස් දෙනවා.12 ඔබ සමාජ මාධ්‍ය ආශ්‍රිත ආරක්ෂක සිදුවීමකට මුහුණ පෑවහොත් (ගිණුමක් පැහැරගැනීම, ෆිෂින් ප්‍රහාරයක්, ව්‍යාජ පැතිකඩක් වැනි), ඒ පිළිබඳව විස්තර සහිතව report@cert.gov.lk යන විද්‍යුත් තැපැල් ලිපිනයට දැනුම් දිය හැකියි.13 ලබා දී ඇති තොරතුරු අනුව 11, Sri Lanka CERT ආයතනයෙන් TikTok දත්ත කාන්දුවීම් ගැනම විශේෂිත උපදේශනයක් නිකුත් කර නොමැති වුවත්, ඔවුන්ගේ සාමාන්‍ය සමාජ මාධ්‍ය ආරක්ෂණ උපදෙස් TikTok පරිශීලකයින්ටත් ඉතාමත් අදාළ වෙනවා.

සයිබර් තර්ජන ගෝලීය වුවත්, ඒවායේ ක්‍රියාත්මකවීම බොහෝවිට දේශීයකරණය වෙනවා. වංචනිකයින් ශ්‍රී ලංකාවේදී සිංහල හෝ දෙමළ භාෂාව භාවිතා කිරීම, දේශීය ආයතන (බැංකු, වාණිජ ආයතන 12) ලෙස පෙනී සිටීම හෝ දේශීය සිදුවීම් තම ප්‍රහාර සඳහා යොදාගැනීම මගින් ඔවුන්ගේ වංචා වඩාත් ඒත්තු ගැන්වෙන සුළු කරගන්නවා. Sri Lanka CERT වැනි ජාතික ආයතන, දේශීයකරණය වූ තර්ජන පිළිබඳ තොරතුරු බෙදාහැරීම, වාර්තා කිරීමේ යාන්ත්‍රණ සැපයීම සහ මගපෙන්වීම ලබාදීම මගින් ඉතා වැදගත් කාර්යභාරයක් ඉටුකරනවා. එමනිසා, Sri Lanka CERT ආයතනයේ සම්පත් ප්‍රයෝජනයට ගැනීම සහ ඒවා ප්‍රවර්ධනය කිරීම ශ්‍රී ලංකාවේ සයිබර් ආරක්ෂාව ඉහළ නැංවීමට උපකාරී වෙනවා.

  • දේශීය භාෂාවෙන් තොරතුරු සහ වංචා (Information and Scams in Local Languages): ශ්‍රී ලංකාවේදී වංචනිකයින් සිංහල සහ දෙමළ භාෂාවලින් පණිවිඩ යොමු කරමින් විශ්වාසය දිනාගැනීමට උත්සාහ කරන බව මතක තබාගන්න.
  • සංස්කෘතික සංවේදීතාව (Cultural Sensitivities): වංචනිකයින් ඇතැම්විට දේශීය සංස්කෘතික කරුණු හෝ ወቅታዊ සිදුවීම් තම ෆිෂින් උත්සාහයන් සඳහා අනිසි ලෙස යොදාගත හැකි බවද සිහිතබා ගන්න.

VI. නිගමනය: අවධානයෙන් සහ සුරක්ෂිතව TikTok භාවිත කරමු

TikTok වැනි සමාජ මාධ්‍ය වේදිකා අපට විනෝදාස්වාදය, සම්බන්ධතා සහ තොරතුරු ලබාදුන්නත්, අපගේ දත්තවල පෞද්ගලිකත්වය සහ ආරක්ෂාව පිළිබඳව අප නිතරම සැලකිලිමත් විය යුතුයි. දත්ත ආරක්ෂාව යනු පරිශීලකයින් සහ වේදිකා යන දෙපාර්ශවයම සතු නිරන්තර වගකීමක්.

මෙම ලිපියේ සාකච්ඡා කළ කරුණු නිසා අනවශ්‍ය ලෙස බිය විය යුතු නැහැ. නමුත්, ක්‍රියාශීලීව සහ දැනුවත්ව කටයුතු කිරීම වැදගත්. මෙහි සඳහන් කළ ආරක්ෂක පිළිවෙත් අනුගමනය කිරීමෙන්, අපට අන්තර්ජාල අවදානම් සැලකිය යුතු ලෙස අඩු කරගනිමින්, සමාජ මාධ්‍ය වගකීමෙන් සහ සුරක්ෂිතව භුක්ති විඳීමට හැකියාව ලැබෙනවා.

අවසාන වශයෙන් කිව යුත්තේ, නූතන ඩිජිටල් යුගයේදී, TikTok වැනි වේදිකා ලබාදෙන ප්‍රතිලාභ සහ ඒවායේ ඇති අවදානම් අතර සමබරතාවයක් පවත්වා ගැනීම අත්‍යවශ්‍ය බවයි. මෙහි අරමුණ මෙම වේදිකා සම්පූර්ණයෙන්ම අත්හැර දැමීමට ඔබව පොළඹවීම නොව (එය ඔබගේ පෞද්ගලික තීරණයක්), දැනුවත් සහ සුරක්ෂිත භාවිතයකට ඔබව යොමු කිරීමයි.

ඔබේ දත්ත ඔබේ වගකීමයි. සුපරීක්ෂාකාරී වන්න, සුරක්ෂිත වන්න!

Sources:
1.https://www.politico.eu/article/tiktok-hit-with-e530m-privacy-fine-ireland-china-data/

2.https://thehackernews.com/2025/05/tiktok-slammed-with-530-million-gdpr.html

3.https://m.economictimes.com/news/international/us/urgent-alert-for-americans-as-184-million-passwords-leak-in-major-data-breach-what-you-must-do-now/articleshow/121537136.cms

4.https://www.techradar.com/pro/security/massive-data-leak-exposes-1-6-million-etsy-and-other-tiktok-shop-customer-details-heres-what-we-know

5.https://hackread.com/threat-actor-tiktok-breach-428-million-records-sale/

6.https://newsroom.tiktok.com/en-eu/our-response-to-the-irish-data-protection-commission-decision-on-data-transfers

7.https://apnews.com/article/tiktok-ireland-european-union-data-privacy-regulation-d386ec74becc716905d7f686d6a448e2

8.https://cybelangel.com/tiktok-leaks-cybersecurity/

9.https://cyberpress.org/hackers-claim-tiktok-breach/

10.https://www.spikerz.com/blog/tiktok-security-breaches-in-2023

11.https://www.cert.gov.lk/faqs

12.https://bizenglish.adaderana.lk/sri-lanka-cert-alerts-public-to-beware-of-fake-messages-on-social-media-and-communication-networks-such-as-whatsapp/

13.https://www.cert.gov.lk/

About The Author

Mr.Boost.lk

Leave a Reply

Your email address will not be published. Required fields are marked *

Related Posts

Need Help?