Сериозен безбедносен пропуст во TikTok им овозможува на напаѓачите да се здобијат со контрола врз профилите на корисниците. За активирање на пропустот не е потребно никакво инсталирање на софтвер, па дури ниту отворање на некој линк, жртвата единствено треба да отвори DM. Пропустот без премногу детали го потврди и TikTok.
„Нашиот безбедносен тим е свесен за потенцијалниот пропуст кој таргетира повеќе профили на брендови и јавни личности. Преземавме мерки за запирање на овие напади и да ги спречиме во иднина. Работиме заедно со сопствениците на профилите да им овозможиме да ја вратат контролата врз својот профил“.
Прва жртва на пропустот беше кабелската мрежа за вести CNN. Минатата недела Semafor забележа дека CNN го изгуби пристапот до својот профил и неколку дена немаше присуство на TikTok. Први осомничени беа вработените во CNN кои имале пристап до профилите на друштвените мрежи. Сепак, неколку дена подоцна, повеќе јавни личности и брендови останаа без пристап до својот профил. Потврда дека не станува збор за невнимание на вработените во CNN дојде и од TikTok.
„Нашиот безбедносен тим неодамна беше предупреден за напади врз TikTok профилот на CNN. Тесно соработуваме со CNN за да го вратиме пристапот до сметката и да имплементираме подобрени безбедносни мерки за поголема безбедност на нивниот профил во иднина. Посветени сме на одржување на интегритетот на платформата и ќе продолжиме да внимаваме на секоја понатамошна сомнителна активност“, вели портпаролот на TikTok Алекс Хаурек за Forbes.
Покрај CNN, потврда дека немаат контрола врз својот профил има и од Парис Хилтон и Sony. Ако има некаква добра вест, тоа е дека во моментов напаѓачот не споделува никаква содржина од зафатените профили.
Без детали за нападот
Во моментов нема детали за тоа што го овозможува нападот. Од она што е споделено дознавме дека станува збор за Zero-Day пропуст кој активно се злоупотребува.
Малициозниот софтвер се споделува преку DM-пораки. Жртвата не треба да преземе никаква акција со испратената порака. Единствено е потребно да ја отвори пораката.
TikTok објави дека многу мал број на профили се зафатени од нападот, но не сподели податоци за тоа колкав е овој број, кои се зафатените профили или детали за пропустот кој го овозможува нападот. Непознат останува и малициозниот софтвер кој се користи за нападот.
Во 2022 година Microsoft откри пропуст во TikTok кој им овозможуваше на напаѓачите да преземат контрола врз профилот, но во тој случај корисникот мораше да отвори линк испратен во пораката.
Изминатите неколку месеци TikTok неколкупати се најде во вестите, откако најпрво властите во САД донесоа закон со кој побараа продажба на TikTok или негова забрана за користење во САД, а потоа компанијата поднесе тужба за да го спречи спроведувањето на истиот закон.