TikTok corrige zero-day
5 de Junho de 2024

Na última semana, invasores sequestraram contas de TikTok de alto perfil pertencentes a várias empresas e celebridades, explorando uma vulnerabilidade zero-day no recurso de mensagens diretas da rede social.

Vulnerabilidades zero-day são falhas de segurança sem um patch oficial ou informações públicas detalhando a fraqueza subjacente.

Após serem comprometidas, contas de usuários pertencentes à Sony, CNN e Paris Hilton tiveram que ser desativadas para prevenir abusos.

A conta da CNN foi a primeira a ser sequestrada na última semana, como o Semaphor relatou pela primeira vez no domingo.

Conforme reportado hoje pela Forbes, o exploit usado pelos invasores para hackear as contas via DMs só precisa que os alvos abram a mensagem maliciosa e não exige o download de um payload ou clicar em links embutidos.

"Nossa equipe de segurança está ciente de um possível exploit visando um número de contas de marcas e celebridades," disse o porta-voz do TikTok, Alex Haurek, à Forbes.

"Tomamos medidas para deter este ataque e preveni-lo de acontecer no futuro.Estamos trabalhando diretamente com os proprietários das contas afetadas para restaurar o acesso, se necessário", comenta o porta voz.

De acordo com Haurek, os invasores comprometeram apenas um número muito pequeno de contas do TikTok.

A empresa ainda tem que revelar o número exato de usuários impactados e não compartilhou detalhes sobre a vulnerabilidade explorada até que a falha subjacente seja corrigida.

Essa não é a primeira vulnerabilidade a impactar usuários da rede social nos últimos anos.

Mais recentemente, a empresa corrigiu uma falha no aplicativo Android descoberta pela Microsoft em agosto de 2022 que permitia aos hackers "tomar controle das contas rapidamente e de maneira silenciosa" com apenas um toque.

Anteriormente, ela corrigiu bugs de segurança que permitiam aos invasores contornar as proteções de privacidade da plataforma e roubar informações privadas dos usuários, incluindo números de telefone e IDs de usuários.

A empresa também corrigiu vulnerabilidades que permitiam a atores de ameaças sequestrar as contas de usuários que se cadastraram via aplicativos de terceiros e comprometer contas para manipular os vídeos dos proprietários e roubar suas informações pessoais.

O TikTok ultrapassou 1 bilhão de usuários em setembro de 2021, e atualmente conta com mais de 1 bilhão de downloads na Google Play Store e 17 milhões de avaliações na iOS App Store.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...