Na última semana, invasores sequestraram contas de TikTok de alto perfil pertencentes a várias empresas e celebridades, explorando uma vulnerabilidade zero-day no recurso de mensagens diretas da rede social.
Vulnerabilidades zero-day são falhas de segurança sem um patch oficial ou informações públicas detalhando a fraqueza subjacente.
Após serem comprometidas, contas de usuários pertencentes à Sony, CNN e Paris Hilton tiveram que ser desativadas para prevenir abusos.
A conta da CNN foi a primeira a ser sequestrada na última semana, como o Semaphor relatou pela primeira vez no domingo.
Conforme reportado hoje pela Forbes, o exploit usado pelos invasores para hackear as contas via DMs só precisa que os alvos abram a mensagem maliciosa e não exige o download de um payload ou clicar em links embutidos.
"Nossa equipe de segurança está ciente de um possível exploit visando um número de contas de marcas e celebridades," disse o porta-voz do TikTok, Alex Haurek, à Forbes.
"Tomamos medidas para deter este ataque e preveni-lo de acontecer no futuro.Estamos trabalhando diretamente com os proprietários das contas afetadas para restaurar o acesso, se necessário", comenta o porta voz.
De acordo com Haurek, os invasores comprometeram apenas um número muito pequeno de contas do TikTok.
A empresa ainda tem que revelar o número exato de usuários impactados e não compartilhou detalhes sobre a vulnerabilidade explorada até que a falha subjacente seja corrigida.
Essa não é a primeira vulnerabilidade a impactar usuários da rede social nos últimos anos.
Mais recentemente, a empresa corrigiu uma falha no aplicativo Android descoberta pela Microsoft em agosto de 2022 que permitia aos hackers "tomar controle das contas rapidamente e de maneira silenciosa" com apenas um toque.
Anteriormente, ela corrigiu bugs de segurança que permitiam aos invasores contornar as proteções de privacidade da plataforma e roubar informações privadas dos usuários, incluindo números de telefone e IDs de usuários.
A empresa também corrigiu vulnerabilidades que permitiam a atores de ameaças sequestrar as contas de usuários que se cadastraram via aplicativos de terceiros e comprometer contas para manipular os vídeos dos proprietários e roubar suas informações pessoais.
O TikTok ultrapassou 1 bilhão de usuários em setembro de 2021, e atualmente conta com mais de 1 bilhão de downloads na Google Play Store e 17 milhões de avaliações na iOS App Store.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...