Read, hack, repeat

TikTok corrige vulnerabilidade de segurança que expôs dados privados de usuários

Guilherme Petry 0 min

Vulnerabilidades de segurança encontradas no app chinês de compartilhamento de vídeos curtos, TikTok, permitiam que invasores ignorassem as configurações de privacidade da plataforma e com isso acessassem dados pessoais e sigilosos de usuários.

As vulnerabilidades foram encontradas por pesquisadores da desenvolvedora israelense de segurança da informação, Check Point, em dezembro de 2019 e corrigidas agora, no final de janeiro.

Segundo os pesquisadores, as vulnerabilidades foram encontradas na ferramenta de encontrar amigos (“Find Friends”, dentro do app) e caso explorada poderia revelar números de telefone dos usuários que verificaram o número de telefone (o que não é obrigatório); nome de usuário; imagens, configurações e dados do perfil; além das listas de seguidores e usuários que o usuário está seguindo.

“Equipes da Check Point Research descobriram uma vulnerabilidade no recurso localizador de amigos do aplicativo móvel TikTok [...] Uma exploração bem-sucedida permitia que um invasor criasse um banco de dados de usuários e seus números de telefone relacionados”, escrevem os pesquisadores em um relatório publicado nesta terça-feira (26).

Os pesquisadores explicam que para realizar um ataque desses, os cibercriminosos deveriam criar uma lista de vítimas, com o ID dos usuários, criar uma lista de tokens de sessão, ignorar o mecanismo de assinatura de mensagens HTTP do TikTok e modificar as solicitações HTTP.

A ByteDance, empresa responsável pelo TikTok informa que a vulnerabilidade está corrigida e que a empresa está trabalhando para garantir a privacidade de dados de seus usuários.

“A segurança e privacidade da comunidade TikTok é nossa maior prioridade, e apreciamos o trabalho de parceiros confiáveis como a Check Point na identificação de possíveis problemas para que possamos resolvê-los antes que afetem os usuários", disse a empresa em um comunicado.

Já o chefe de pesquisa de vulnerabilidades de produtos, Oded Vanunu, disse ao Bleeping Computer, que essa vulnerabilidade é especialmente perigosa, já que um cibercriminoso com esse nível de informações pode realizar uma série de ataques maliciosos. "Nossa mensagem para os usuários do TikTok é compartilhar o mínimo possível quando se trata de seus dados pessoais”.

"Continuamos a fortalecer nossas defesas, atualizando constantemente nossas capacidades internas, como investindo em defesas de automação, e também trabalhando com terceiros”, conclui o porta-voz da ByteDance.


Fontes: Check Point Research; Bleeping Computer.

Compartilhar twitter/ facebook/ Copiar link
Você se inscreveu com sucesso no The Hack
Bem vindo de Volta!
Massa! Você se registrou com sucesso.
Sucess! Sua conta está completamente ativada.