TikTok įveda kodą į trečiųjų šalių tinklalapius, kai vartotojas atidaro naršyklės puslapį TikTok programoje. Šis kodas, be kita ko, gali būti naudojamas kaip klavišų kaupiklis. Remiantis socialine terpe, aptariamas kodas naudojamas tik tobulinimo tikslais.
Kūrėjas ir saugumo tyrinėtojas Felixas Krause'as nustatė, kad kai vartotojas atidaro nuorodą „iOS“ „TikTok“ versijoje, programoje atidaroma naršyklė, kurioje socialinė terpė gali įvesti „JavaScript“ kodą. Taip būtų galima įrašyti klaviatūra įvestus duomenis, įskaitant slaptažodžius, mokėjimo informaciją ir kitus duomenis. Jis netyrė, ar taip yra ir „Android“ programos versijoje.
„TikTok“ patvirtina „Forbes“, kad „JavaScript“ kodas iš tikrųjų yra, tačiau pranešimai apie tariamą klavišų kaupiklį yra klaidinantys. Teigiama, kad prieštaringai vertinama kodo dalis yra nenaudojama trečiosios šalies SDK dalis. „Kaip ir kitose platformose, mes taip pat naudojame naršyklę programoje, kad užtikrintume optimalią vartotojo patirtį. Atitinkamas „JavaScript“ kodas naudojamas derinant, šalinant triktis ir stebint programos veikimą, pavyzdžiui, norint patikrinti puslapio įkėlimo greitį ir ar puslapis sugenda.
Taigi trečiosios šalies SDK kodo „keylogger“ dalis nebūtų naudojama. Neaišku, kas yra ši trečioji šalis ir ar joms iš tikrųjų reikės klavišų kaupiklio plėtros tikslais. „TikTok“ taip pat siūlo, kad tam tikri registruoti duomenys būtų apdorojami tik lokaliai įrenginyje ir nepersiunčiami į socialinės terpės serverius.
Tyrėjas savo išvadose, kurios atitinka ankstesnį „Instagram“ ir „Facebook“ stebėjimo atradimą programose esančiose naršyklėse, teigia, kad „TikTok“ teiginys gali būti teisingas. „Vien todėl, kad programa įterpia JavaScript į išorines svetaines, nebūtinai reiškia, kad programa daro kažką kenkėjiško. Nėra jokio būdo tiksliai žinoti, kokius duomenis renka programėlės naršyklė ir ar šie duomenys yra persiunčiami, ar naudojami.
Todėl nėra savaime suprantama, kad „TikTok“ iš tikrųjų įrašo vartotojų klaviatūros įvestį, jau nekalbant apie tai, kad siunčia ją į savo serverius ar kitaip saugo. Tačiau beveik neabejotina, kad tai būtų įmanoma. Dėl šios priežasties, pasak Krause, protinga nukopijuoti naršyklės nuorodas per „TikTok“, taip pat per „Facebook“ bei „Instagram“ ir įklijuoti jas tiesiai į patikimą naršyklę. Tokiu būdu atitinkamos programos negali įvesti kodo, kad tokiu būdu registruotų jautrius duomenis.