Zero-Day en TikTok permite secuestro de cuentas

Durante la semana pasada, atacantes secuestraron cuentas de TikTok de alto
perfil pertenecientes a múltiples empresas y celebridades, explotando una
vulnerabilidad de día cero en la función de mensajes directos de las redes
sociales.

Después de verse comprometidas, las cuentas de usuario pertenecientes a Sony,
CNN y Paris Hilton tuvieron que ser eliminadas para evitar abusos. La cuenta
de CNN fue la primera en ser secuestrada la semana pasada, como
informó Semaphor el domingo.

Como informó
informó Forbes hoy, el exploit utilizado por los atacantes para piratear las cuentas a través
de mensajes directos
solo necesita que los objetivos abran el mensaje malicioso y no
requiere descargar una carga útil ni hacer clic en enlaces incrustados.

“Nuestro equipo de seguridad es consciente de un posible exploit dirigido a
varias cuentas de marcas y celebridades”, dijo a Forbes el portavoz de TikTok, Alex Haurek.
“Hemos tomado medidas para detener este ataque y evitar que ocurra en el
futuro. Estamos trabajando directamente con los propietarios de cuentas
afectados para restaurar el acceso, si es necesario”.

Según Haurek, los atacantes solo han comprometido una cantidad muy pequeña de
cuentas de TikTok. La compañía aún no ha revelado el número exacto de usuarios
afectados y no ha compartido ningún detalle sobre la vulnerabilidad explotada
hasta que se solucione la falla subyacente.

Esta no es la primera vulnerabilidad que afecta a los usuarios de TikTok en
los últimos años. Más recientemente, la compañía corrigió una falla en una
aplicación de Android descubierta por Microsoft en agosto de 2022 que
permitía a los atacantes apoderarse de cuentas “rápida y
silenciosamente”

con un solo toque.

Anteriormente, solucionaron errores de seguridad que permitían a los atacantes
eludir las protecciones de privacidad de la plataforma y robar información
privada de los usuarios, incluidos números de teléfono e identificaciones de
usuarios.

La compañía también solucionó vulnerabilidades que permitían a los actores de
amenazas
secuestrar las cuentas de los usuarios
que se registraron a través de aplicaciones de terceros y comprometer cuentas
para manipular los videos de los propietarios y
robar su información personal.

Fuente:
BC

Leave Your Comment