TikTok je potvrdio da su hakeri iskoristili ranjivost nultog dana u svojoj funkciji direktne razmjene poruka (DM) kako bi oteli nekoliko naloga visokog profila.
Pogođeni računi uključuju račune poznatih ličnosti poput Paris Hilton i velikih medijskih organizacija kao što su CNN i Sony. Napad, koji je podigao uzbunu zbog sigurnosnih mjera platforme, prvi put je prijavljen 4. juna 2024. godine.
Ranjivost Zero-Day
Ranjivost nultog dana omogućila je napadačima da dobiju neovlašćeni pristup nalozima jednostavnim slanjem zlonamjerne poruke preko TikTok-ove DM funkcije.
Eksploatacija nije zahtijevala od žrtava da preuzmu bilo kakav korisni teret ili kliknu na ugrađene veze; samo otvaranje zlonamerne poruke bilo je dovoljno da naruši nalog.
Ova vrsta napada je posebno podmukla jer koristi prethodno nepoznatu sigurnosnu grešku, ne dajući programerima vremena da zakrpe ranjivost prije nego što je iskoriste.
Kršenje je dovelo do privremenog gašenja pogođenih računa kako bi se spriječila dalja zloupotreba. CNN-ov nalog je navodno bio prvi koji je otet, što je zahtijevalo njegovo uklanjanje sa platforme na nekoliko dana. Na meti je bio i nalog Paris Hilton, iako nije narušen, prenosi Semafor .
TikTok je od tada poduzeo mjere kako bi zaustavio napad i spriječio buduće pojave. Kompanija radi direktno sa pogođenim vlasnicima naloga kako bi vratila pristup i implementirala dodatne sigurnosne mjere.
Jason Grosse, predstavnik TikTokovog tima za privatnost i sigurnost, izjavio je da kompanija sarađuje sa pogođenim korisnicima kako bi ublažila uticaj i osigurala da se takvi incidenti ne ponove.
Međutim, TikTok nije otkrio tačan broj narušenih naloga niti detaljno naveo specifičnu prirodu ranjivosti, pozivajući se na bezbjednosne probleme.
Vrijeme napada je posebno zabrinjavajuće s obzirom na predstojeće američke predsjedničke izbore. Postoji pojačan strah da bi se takve ranjivosti mogle iskoristiti za širenje dezinformacija ili ometanje izbornog procesa. CNN, na primjer, radi s TikTokom na jačanju sigurnosti svog naloga u očekivanju potencijalnih prijetnji tokom izborne sezone.
Ovaj incident je posljednji u nizu sigurnosnih izazova za TikTok. 2022. godine, haker je tvrdio da je ukrao korisničke podatke i izvorni kod sa platforme, iako je TikTok demantovao ove tvrdnje.
Platforma se također suočila sa nadzorom američkih zakonodavaca zbog zabrinutosti da bi kineska vlada mogla pristupiti korisničkim podacima, s obzirom na vlasništvo TikToka od strane kineskog tehnološkog giganta ByteDance.
Kao odgovor na ove zabrinutosti, predsjednik Bajden je u aprilu 2024. potpisao nacrt zakona kojim se od ByteDancea zahtijeva da proda TikTok operacije u SAD ili se suoči sa zabranom.
TikTok ima istoriju sigurnosnih propusta . U avgustu 2022., Microsoft je otkrio propust u TikTokovoj Android aplikaciji, omogućavajući hakerima da preuzmu naloge jednim klikom.
Ostale ranjivosti uključuju zaobilaženje zaštite privatnosti i krađu privatnih korisničkih podataka, kao što su brojevi telefona i korisnički ID-ovi. Uprkos ovim problemima, TikTok ostaje jedna od najpopularnijih platformi društvenih medija na globalnom nivou, sa preko milijardu korisnika.
Za sada, korisnicima TikTok-a, posebno onima koji imaju račune visokog profila, savjetuje se da ostanu na oprezu i prijave svaku sumnjivu aktivnost sigurnosnom timu platforme. Kompanija je uvjerila svoje korisnike da je posvećena zaštiti njihovih podataka i sprječavanju budućih povreda.
Izvor: CyberSecurityNews
