צוות חוקרים של חברת אבטחת הסייבר הישראלית צ'ק פוינט איתר חולשת אבטחה בטיקטוק (TikTok) שאפשרה לתוקפים לאתר פרטי חשבון של משתמשים – כמו מספרי טלפון, תעודות זהות משתמש (User ID) וכתובות מייל. טרם הפרסום, פעלו בחברה לתקן את החולשה.
"ניצול של חולשה מסוג זו יכולה היתה לאפשר לתוקפים, המשתמשים באמצעים אוטומטיים מתאימים, לייצר מאגר מידע רחב היקף של טלפונים ופרטים אישיים נוספים המבוססים כולם על הפרטים שהמשתמשים, בהם סלבס ואושיות רשת, עדכנו בחשבונות הטיקטוק שלהם" אמרו בחברת האבטחה.
החולשה ניצלה מנגנון קיים בפלטפורמה שנקרא Find Friends שמאפשר לרשת החברתית לאתר אוטומטית משתמשים שנמצאים באנשי הקשר של המשתמש, דרך מספר הטלפון שלהם. המנגנון למעשה "שולח שאילתא" לשרתי הפלטפורמה והם בתגובה מספקים את המענה לשאילתא בדמות חיבור לחשבון קיים.
לפיצ'ר האמור היו הגנות, אולם החוקרים הצליחו לעקוף אותן דרך יצירת מנגנון עצמאי, שאינו מחובר לאנשי הקשר של המשתמש, אשר שלח שאילתות בהתאם לרצון התוקף. באמצעות ניצול החולשה הזו, התוקף יכול היה לייצר שאילתות לשרתי טיק טוק במכפלות של 500 מספרים על כל בקשה, ובתמורה לקבל מהפלטפורמה הצלבות של מספרי טלפון ופרטי פרופיל שלא היו מוגנים דיים.
בדרך זו, למשל, החוקרים הצליחו להשיג את פרטי המשתמש האישיים של בעלי חשבונות פופולריים בישראל – זמר, אדריכל ידוע ומשפיען רשת, ואת הממצאים הם העבירו לטיקטוק.
החוקרים עבדו בצמידות עם הרשת החברתית בכדי לתקן את החולשה, ובהמשך מסרה בתגובה: "הפרטיות וההגנה על פרטיהם של חברי קהילת טיק טוק היא בעדיפות עליונה שלנו, ואנו מעריכים שיתופי פעולה עם שותפים מוסמכים כמו צ'ק פוינט שמסייעים לנו לזהות סוגיות פוטנציאליות ולתקן אותן לפני שהן משפיעות על המשתמשים. אנו נמשיך לחזק את ההגנות שלנו על ידי שדרוג היכולות הפנימיות והשקעה בהגנות אוטמטיות, וכן על ידי שיתופי פעולה עם גורמים חיצוניים".
עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר, ציין כי "מאגר כזה משמש האקרים למתקפות פישינג או לחילופין להתקפות ישירות על מכשירים של משתמשים עם פרופיל גבוה. אנו מעריכים את העובדה שטיק טוק פעלה ברצינות רבה לתקן את החולשה. ההמלצה שלנו למשתמשים ברשתות החברתיות היא לשתף בהן כמה שפחות מידע אישי ולוודא שהאפליקציות מעודכנות בגרסא האחרונה שלהן".
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו