-La aplicaciĆ³n de TikTok ya tiene mĆ”s de mil millones de veces instalada
-Los datos que intentaron recolectar los ciberatacantes usualmente se usan para extorsionar
-TambiƩn hubo intentos de robo de identidad cibernƩtica
ByteDance, la empresa de tecnologĆa detrĆ”s de TikTok, informĆ³ hoy que hubo un intento de vulnerar la seguridad en el servicio de redes sociales para compartir videos; este intento podrĆa haber permitido a los atacantes robar informaciĆ³n personal privada de los usuarios.
TikTok tiene servidores en los paĆses donde operan sus aplicaciones de iOS y Android y se usa para compartir videos mĆ³viles en bucle de formato corto de 3 a 60 segundos.
La aplicaciĆ³n de Android tiene mĆ”s de mil millones de veces instalada, de acuerdo con las estadĆsticas de Google Play Store, y tambiĆ©n ha superado los 2 mil millones de descargas en todas las plataformas mĆ³viles durante el mes abril de 2020, segĆŗn las estadĆsticas de Sensor Tower Store Intelligence.
Notas relacionadas: Telegram vende mĆ”s de 500 millones de nĆŗmeros de usuarios de Facebook
Datos privados de usuarios expuestos al robo de datos
La vulnerabilidad de seguridad encontrada por los analistas de Check Point, en ‘Find Friends’ de TikTok, permitiĆ³ a los atacantes eludir las protecciones de privacidad de la plataforma, lo que les permitiĆ³ acceder a la informaciĆ³n personal privada de los usuarios, entre esta data, entre nĆŗmeros de telĆ©fono e ID de usuario.
“Los detalles del perfil a los que se pudo acceder a travĆ©s de la vulnerabilidad incluyen el nĆŗmero de telĆ©fono, el nickname; las imĆ”genes de perfil, avatar, las ID de usuario Ćŗnicas, asĆ como ciertas configuraciones de perfil, como si un usuario es un seguidor o si el perfil del usuario estĆ” oculto”, asegurĆ³ Check Point. .
TikTok revelĆ³ que la informaciĆ³n que se intentĆ³ extraer en este ataque es del tipo que los ciberatacantes usan para extorsionar a usuarios de las redes sociales. De acuerdo con BleepingComputer, blog especializado en ataques cibernĆ©ticos, para explotar este error y eludir las defensas de privacidad de TikTok, los piratas informĆ”ticos tendrĆan que:
-Crear una lista de dispositivos que se utilizarƔn para consultar los servidores de TikTok.
-Omitir el mecanismo de firma de mensajes HTTP de TikTok, utilizando su propio servicio de firma, ejecutado en segundo plano.
-Modificar las solicitudes HTTP, resignelas y use varios tokens de sesiĆ³n e ID de dispositivo para evitar los mecanismos de protecciĆ³n de TikTok.
La informaciĆ³n detallada sobre cĆ³mo se podrĆa explotar la vulnerabilidad para robar la informaciĆ³n privada de los usuarios de TikTok estĆ” disponible en el informe de Check Point compartido con BleepingComputer.
Vulnerabilidad ahora arreglada
ByteDance abordĆ³ la vulnerabilidad de TikTok luego de la divulgaciĆ³n a cargo de Check Point, segĆŗn la empresa, ya se han bloqueado āfallosā para evitar futuros intentos de eludir los candados de privacidad de la plataforma.
“Un atacante con ese grado de informaciĆ³n sensible podrĆa realizar una variedad de actividades maliciosas, como spear phishing u otras acciones criminales. Nuestro mensaje para los usuarios de TikTok es compartir lo mĆnimo cuando se trata de sus datos personales”, aconsejĆ³ Check Point.
