Na semana passada, invasores sequestraram contas TikTok de alto perfil pertencentes a várias empresas e celebridades. Esses cibercriminosos exploraram uma vulnerabilidade de zero dia no recurso de mensagens diretas da mídia social.
Contas sequestradas do TikTok e a correção da falha
Depois de serem comprometidas, as contas de usuários pertencentes à Sony, CNN e Paris Hilton tiveram que ser removidas para evitar abusos. A conta da CNN foi a primeira a ser sequestrada na semana passada, como a Semaphor informou pela primeira vez no domingo (Via: Bleeping Computer).
De acordo com a Forbes, a exploração usada pelos invasores para hackear as contas via DMs só precisa que os alvos abram a mensagem maliciosa e não requer o download de uma carga útil ou o clique em links incorporados. “Nossa equipe de segurança está ciente de uma potencial exploração visando uma série de contas de marcas e celebridades”, disse o porta-voz da TikTok, Alex Haurek, à Forbes.
Tomamos medidas para impedir este ataque e evitar que aconteça no futuro. Estamos trabalhando diretamente com os proprietários das contas afetadas para restaurar o acesso, se necessário.
Notícias Relacionadas
De acordo com Haurek, os invasores comprometeram apenas um número muito pequeno de contas do TikTok. A empresa ainda não revelou o número exato de usuários afetados e não compartilhou nenhum detalhe sobre a vulnerabilidade explorada até que a falha subjacente seja corrigida.
Não é a primeira falha que permite aquisições de contas
Esta não é a primeira vulnerabilidade a impactar os usuários do TikTok nos últimos anos. Mais recentemente, a empresa corrigiu uma falha de aplicativo Android descoberta pela Microsoft em agosto de 2022 que permitia que hackers assumissem o controle de contas “de forma rápida e silenciosa” com um toque. Anteriormente, ele corrigiu bugs de segurança que permitiam que invasores contornassem as proteções de privacidade da plataforma e roubassem informações privadas do usuário , incluindo números de telefone e IDs de usuário.
A empresa também corrigiu vulnerabilidades que permitiam que agentes de ameaças sequestrassem contas de usuários que se inscreveram por meio de aplicativos de terceiros e comprometessem contas para manipular os vídeos dos proprietários e roubar suas informações pessoais.
O TikTok ultrapassou 1 bilhão de usuários em setembro de 2021 e atualmente tem mais de 1 bilhão de downloads na Play Store do Google e 17 milhões de avaliações na App Store do iOS. O Bleeping Computer tentou contato com a empresa para uma declaração acerca do sequestro das contas, mas não obteve êxito.
