Nell’ultima settimana, attaccanti hanno dirottato account TikTok di alto profilo appartenenti a diverse aziende e celebrità, sfruttando una vulnerabilità zero-day nella funzionalità dei messaggi diretti del social media.
Le vulnerabilità zero-day sono falle di sicurezza senza una patch ufficiale o informazioni pubbliche che dettagliano la debolezza sottostante.
Dopo essere stati compromessi, gli account degli utenti appartenenti a Sony, CNN e altri sono stati disattivati per prevenire abusi. L’account di CNN è stato il primo a essere dirottato la scorsa settimana, come riportato da Semaphor domenica.
Secondo quanto riportato da Forbes, l’exploit utilizzato dagli attaccanti per hackerare gli account tramite messaggi diretti richiede solo che i bersagli aprano il messaggio malevolo e non necessita di scaricare un payload o cliccare su link incorporati.
Dichiarazione di TikTok e misure adottate
“Il nostro team di sicurezza è a conoscenza di un potenziale exploit che prende di mira un numero di account di alto profilo,” ha detto Jason Grosse, portavoce di TikTok.
“Abbiamo preso misure per fermare questo attacco e prevenire che accada in futuro. Stiamo lavorando direttamente con i proprietari degli account interessati per ripristinare l’accesso, se necessario.”
Secondo Grosse, gli attaccanti hanno compromesso solo un “piccolo numero” di account TikTok, secondo un'”analisi iniziale.” L’azienda non ha ancora rivelato il numero esatto di utenti impattati e non ha condiviso dettagli riguardo alla vulnerabilità sfruttata fino a quando la falla sottostante non sarà corretta.
Precedenti vulnerabilità che hanno permesso il dirottamento degli account
Questa non è la prima vulnerabilità che impatta gli utenti di TikTok negli ultimi anni. Più recentemente, l’azienda ha corretto una falla dell’app Android scoperta da Microsoft nell’agosto 2022 che permetteva agli hacker di prendere il controllo degli account “rapidamente e silenziosamente” con un solo tocco.
In precedenza, ha risolto bug di sicurezza che permettevano agli attaccanti di bypassare le protezioni sulla privacy della piattaforma e rubare informazioni private degli utenti, inclusi numeri di telefono e ID utente.
L’azienda ha anche risolto vulnerabilità che permettevano agli attori di minacce di dirottare gli account degli utenti che si iscrivevano tramite app di terze parti e compromettere gli account per manipolare i video dei proprietari e rubare le loro informazioni personali.
TikTok ha superato 1 miliardo di utenti nel settembre 2021 e attualmente ha oltre 1 miliardo di download sul Play Store di Google e 17 milioni di valutazioni sull’App Store di iOS.
Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:
Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?
Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!