Через уязвимость TikTok была доступна конфиденциальная информация

Группа исследователей израильской компании Imperva выявила уязвимость на платформе TikTok, позволявшую злоумышленникам получать конфиденциальную информацию подписчиков. Нарушение информационной безопасности было связано с доступом к конфиденциальной информации через всплывающие сообщения.

В компании Imperva уточнили, что злоумышленники могли получать данные о любом пользователе сервис TikTok при открытии вредоносной ссылки, полученной через окно всплывающих сообщений — как на мобильном устройстве, так и на ПК. Эта уязвимость, которая к настоящему времени исправлена, была вызвана некорректной работой модуля обработки событий всплывающих сообщений. Какое-то время он должным образом не проверял источники сообщений, что позволяло хакерам получать конфиденциальные данные подписчиков.

Как сообщили исследователи, злоумышленникам были доступны сведения об устройствах пользователей, а также данные о самих пользователях, истории просмотров, информация о поиске контента и т.д.

Нарушение информационной безопасности было выявлено в системе TikTok, которая проводит мониторинг пользовательских данных. Слабость защитных мер была вызвана отсутствием механизмов аутентификации как при получении, так и при отправке сообщений в системе. Уязвимость была устранена вскоре после того, как специалисты Imperva связались с компанией TikTok.

Руководитель исследований угроз в компании Imperva Надав Авиталь (Nadav Avital) отметил, что украденная информация подписчиков TikTok могла служить почвой для организации атак на пользователей, включая фишинговое воздействие, а также для шантажа. Вероятно, одной из целей злоумышленников могло быть получение доступа к устройствам высокопоставленных пользователей.

Источник: Calcalist Tech