Negli ultimi giorni, alcuni attaccanti hanno preso il controllo di account TikTok di alto profilo appartenenti a diverse aziende e celebrità, sfruttando una vulnerabilità zero-day nella funzione di messaggi diretti del social media.
Le vulnerabilità zero-day sono falle di sicurezza per le quali non esiste ancora una patch ufficiale o informazioni pubbliche dettagliate sul problema e TikTok è un applicativo che è sempre sotto osservazione.
Dopo essere stati compromessi, gli account appartenenti a Sony, CNN e Paris Hilton sono stati disattivati per prevenire ulteriori abusi. L’account di CNN è stato il primo ad essere compromesso la scorsa settimana.
Secondo quanto riportato da Forbes, l’exploit utilizzato dagli attaccanti per hackerare gli account tramite i messaggi diretti richiede solo che i bersagli aprano il messaggio malevolo, senza bisogno di scaricare un payload o cliccare su link incorporati.
Il portavoce di TikTok, Alex Haurek, ha dichiarato a Forbes: “Il nostro team di sicurezza è a conoscenza di un potenziale exploit che prende di mira un numero di account di marchi e celebrità. Abbiamo adottato misure per fermare questo attacco e prevenire che si ripeta in futuro. Stiamo lavorando direttamente con i proprietari degli account interessati per ripristinare l’accesso, se necessario.“
Secondo Haurek, solo un numero molto ridotto di account TikTok è stato compromesso. La società non ha ancora rivelato il numero esatto di utenti colpiti e non ha condiviso dettagli riguardo la vulnerabilità sfruttata finché il problema non sarà risolto.
Non è la prima falla che consente il controllo degli account
Non è la prima volta che una vulnerabilità colpisce gli utenti di TikTok negli ultimi anni. Recentemente, l’azienda ha risolto un problema nell’app per Android scoperto da Microsoft nell’agosto 2022 che permetteva agli hacker di prendere rapidamente il controllo degli account con un solo tap.
In precedenza, TikTok ha risolto bug di sicurezza che consentivano agli attaccanti di bypassare le protezioni della privacy della piattaforma e rubare informazioni private degli utenti, inclusi numeri di telefono e ID utente.
La società ha anche risolto vulnerabilità che permettevano agli attori delle minacce di prendere il controllo degli account di utenti registrati tramite app di terze parti e di manipolare i video dei proprietari e rubare le loro informazioni personali.
TikTok ha superato 1 miliardo di utenti a settembre 2021 e attualmente ha oltre 1 miliardo di download sul Google Play Store e 17 milioni di valutazioni sull’App Store di iOS.
