Badacze bezpieczeństwa cybernetycznego ujawnili we wtorek (załataną obecnie) lukę w zabezpieczeniach aplikacji TikTok, która potencjalnie mogła umożliwić atakującemu stworzenie bazy danych użytkowników aplikacji i powiązanych z nimi numerów telefonów w celu podjęcia przyszłych szkodliwych działań.
Mimo, że dziura ta dotyczy tylko tych użytkowników, którzy powiązali numer telefonu ze swoim kontem lub zalogowali się przy użyciu numeru telefonu, skuteczne wykorzystanie luki mogło doprowadzić do wycieku danych i naruszenia prywatności. TikTok wdrożył poprawkę do błędu po tym jak badacze z firmy Check Point ujawnili błąd.
Nowo odkryty błąd znajduje się w funkcji „Szukaj znajomych” TikTok, która pozwala użytkownikom synchronizować swoje kontakty z serwisem w celu identyfikacji potencjalnych osób do obserwowania.
W październiku 2020 roku TikTok uruchomił partnerstwo „bug bounty” (program w ramach którego każdy możne zgłaszać błędy oraz luki w bezpieczeństwie w zamian za benefity lub wynagrodzenie) z HackerOne aby pomóc użytkownikom lub specjalistom ds. bezpieczeństwa w zgłaszaniu problemów technicznych z platformą. Krytyczne luki (CVSS score 9 – 10) kwalifikują się do wypłaty od $6,900 do $14,800.
„Naszą główną motywacją tym razem było zbadanie prywatności TikTok”, powiedział Oded Vanunu, szef działu badań nad podatnościami w produktach w Check Point. „Byliśmy ciekawi, czy platforma TikTok może zostać wykorzystana do zdobycia prywatnych danych użytkowników. Okazuje się, że odpowiedź była twierdząca, ponieważ udało nam się obejść wiele mechanizmów ochrony TikTok, które prowadzą do naruszenia prywatności. Atakujący z taką ilością wrażliwych informacji mógłby wykonywać szereg złośliwych działań, takich jak phishing lub inne działania przestępcze”.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
EUROPOL – udana akcja, przejęto infrastrukturę wykorzystywaną do propagacji ataków FluBot