La popular plataforma para compartir videos TikTok ha reconocido un problema de seguridad que ha sido aprovechado por actores de amenazas para tomar el control de cuentas de alto perfil en la plataforma.
El desarrollo fue informado por primera vez por Semafor y Forbes, que detallaron una campaña de apropiación de cuentas sin hacer clic que permite que el malware propagado a través de mensajes directos comprometa cuentas de marcas y celebridades sin tener que hacer clic o interactuar con ellas.
Actualmente no está claro cuántos usuarios se han visto afectados, aunque un portavoz de TikTok dijo que la compañía ha tomado medidas preventivas para detener el ataque y evitar que vuelva a ocurrir en el futuro.
La compañía dijo además que está trabajando directamente con los titulares de cuentas afectados para restaurar el acceso y que el ataque sólo logró comprometer a un número «muy pequeño» de usuarios. No proporcionó ningún detalle sobre la naturaleza del ataque o las técnicas de mitigación que había empleado.
Esta no es la primera vez que se descubren problemas de seguridad en el servicio ampliamente utilizado. En enero de 2021, Check Point detalló una falla en TikTok que podría haber permitido a un atacante crear una base de datos de los usuarios de la aplicación y sus números de teléfono asociados para futuras actividades maliciosas.
Luego, en septiembre de 2022, Microsoft descubrió un exploit de un solo clic que afectaba a la aplicación de Android de TikTok y que podía permitir a los atacantes hacerse cargo de las cuentas cuando las víctimas hacían clic en un enlace especialmente diseñado.
Eso no es todo. Se descubrió que hasta 700.000 cuentas de TikTok en Turquía habían sido comprometidas el año pasado, después de que surgieran informes de que el enrutamiento gris de mensajes SMS a través de canales inseguros permitía a los adversarios interceptar contraseñas de un solo uso y obtener acceso a las cuentas de los usuarios de TikTok e inflar los me gusta y los seguidores. .
Los malos actores también han aprovechado el Desafío Invisible de TikTok para entregar malware que roba información, destacando los esfuerzos continuos por parte de los atacantes para difundir malware a través de medios no convencionales.
Las raíces chinas de TikTok han generado preocupaciones de que la aplicación pueda usarse como un conducto para recopilar información confidencial sobre los usuarios estadounidenses e impulsar propaganda, lo que finalmente llevó a la aprobación de una ley que prohibiría la aplicación de video en el país a menos que se deshaga de ByteDance.
