TikTok z poważnymi lukami. Kiepskie zabezpieczenia pozwalały przejmować konta

TikTok, czyli jedna z najpopularniejszych aplikacji wśród młodych ludzi, okazała się być dosłownie dziurawa. Eksperci z firmy Check Point wykryli wiele luk, które pozwalały na przeróżne ataki, w tym zdobycie poufnych danych osobowych.

Na TikToku znajdziemy głównie nastolatków oraz dzieci. Młodzi ludzie korzystają z tej aplikacji w przeróżny sposób, ale przede wszystkim udostępniają tam wiele swoich filmików. Przy okazji, na serwerach są przetrzymywane ich dane osobowe, w tym adresy e-mail.

Badanie zespołu Check Point wykazało, że atakujący może wysłać sfałszowaną wiadomość SMS do użytkownika zawierającego złośliwe łącze. Wystarczyło kliknąć w link, a osoba trzecia mogła uzyskać pełen dostęp do konta TikTok. Wówczas mogła zarządzać jego zawartością, w tym dostać się do do filmów, które były ustawione jako prywatne.

Check Point wykazał także, że subdomena ads[.]tiktok[.]com była podatna na ataki XSS. Z pomocą odpowiednich skryptów, badacze uzyskali dostęp do danych osobowych na kontach użytkowników, odczytując w ten sposób prywatne adresy e-mail i daty urodzin.

Firma od razu poinformowała twórców aplikacji o lukach ujawnionych w badaniu. TikTok został już zaktualizowany, a więc serwis nie jest już wrażliwy na ataki. Nie zmienia to jednak faktu, że dane 400 milionów aktywnych użytkowników każdego dnia, mógł wykraść nawet amator.