פרצת אבטחה חמורה התגלתה בטיקטוק

חברת אבטחת המידע הישראלית צ'ק פוינט מצאה פירצת אבטחה חמורה בטיקטוק, שאפשרה להגיע לפרטיהם האישיים של המשתמשים. הפירצה עשתה שימוש באחת התכונות "מצא את חבריי". מטיקטוק נמסר: "מעריכים שיתופי פעולה עם שותפים מוסמכים כמו צ'ק פוינט"

  • טיקטוק
מערכת וואלה! TECH
בווידיאו: חוקר הסייבר גלעד האן על סכנות ההתחזות ברשת (עריכה: דפי מקל)

חולשה בטיקטוק התגלתה על ידי חוקרי חברת הסייבר הישראלית צ'ק פוינט: החולשה אפשרה לתוקפים להגיע למספרי הטלפון האישיים המחוברים לחשבון הטיקטוק ולהצליבם עם פרטי חשבון נוספים (ובכלל זאת כינוי, תמונות פרופיל, תעודת זהות משתמש- User ID) וכן גישה לחלק מהגדרות המשתמש (איתור עוקבים, פרופיל מוסתר). ניצול של חולשה מסוג זו יכולה היתה לאפשר לתוקפים, המשתמשים באמצעים אוטומטיים מתאימים, לייצר מאגר מידע רחב היקף של טלפונים ופרטים אישיים נוספים המבוססים כולם על הפרטים שהמשתמשים עדכנו בחשבונות הטיק טוק שלהם. רק בשנה שעברה, צ'ק פוינט איתרה חולשת אבטחה נוספת בטיקטוק שאפשרה להשיג מידע אישי על המשתמשים ונקיטת פעולות בחשבון.

עוד בוואלה!

הסוף לדקירות? שעון האפל ווטש סדרה 7 עתיד להציע מדידת הסוכר בדם

לכתבה המלאה

"רצינו לבחון באם הפלטפורמה הפופולרית מאפשרת נגישות לפרטים אישיים וראינו שזה אפשרי דרך מעקף של מנגנון הגנה קיים באחד מהפיצ'רים הפופולריים. שימוש רחב היקף בחולשות מעין אלו מאפשר להאקרים לייצר מאגרי מידע שמצליבים שמות למספרי טלפון, וכן פרטים נוספים, מה שמשמעותי במיוחד בחשבונות בעלי עוקבים רבים ברשתות החברתיות. מאגר כזה משמש האקרים למתקפות פישינג או לחילופין להתקפות ישירות על מכשירים של משתמשים עם פרופיל גבוה", אמר עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר. "אנו מעריכים את העובדה שטיקטוק פעלה ברצינות רבה לתקן את החולשה. ההמלצה שלנו למשתמשים ברשתות החברתיות היא לשתף בהן כמה שפחות מידע אישי ולוודא שהאפליקציות מעודכנות בגרסא האחרונה שלהן".

פרצת אבטחה חמורה התגלתה בטיקטוק (צילום: AP)

החולשה ניצלה מנגנון קיים בפלטפורמה שנקרא Find Friends שמאפשר לטיקטוק לאתר אוטומטית משתמשים שנמצאים באנשי הקשר של המשתמש, דרך מספר הטלפון שלהם. המנגנון למעשה "שולח שאילתא" לשרתי הפלטפורמה והם בתגובה מספקים את המענה לשאילתא בדמות חיבור לחשבון קיים. לפיצ'ר האמור היו הגנות, אולם החוקרים הצליחו לעקוף אותן דרך יצירת מנגנון עצמאי, שאינו מחובר לאנשי הקשר של המשתמש, אשר שלח שאילתות בהתאם לרצון התוקף. באמצעות ניצול החולשה הזו, התוקף יכול היה לייצר שאילתות לשרתי טיקטוק במכפלות של 500 מספרים על כל בקשה, ובתמורה לקבל מהפלטפורמה הצלבות של מספרי טלפון ופרטי פרופיל שלא היו מוגנים דיים. בדרך זו, למשל, החוקרים הצליחו להשיג את פרטי המשתמש האישיים של בעלי חשבונות פופולריים בישראל (זמר, אדריכל ידוע, משפיען רשת) ואת הממצאים הם העבירו לחברת טיקטוק.

מטיקטוק נמסר: "הפרטיות וההגנה על פרטיהם של חברי קהילת טיטוק היא בעדיפות עליונה שלנו, ואנו מעריכים שיתופי פעולה עם שותפים מוסמכים כמו צ'ק פוינט שמסייעים לנו לזהות סוגיות פוטנציאליות ולתקן אותן לפני שהן משפיעות על המשתמשים. אנו נמשיך לחזק את ההגנות שלנו על ידי שדרוג היכולות הפנימיות והשקעה בהגנות אוטמטיות, וכן על ידי שיתופי פעולה עם גורמים חיצוניים".

טרם התפרסמו תגובות

הוסף תגובה חדשה

בשליחת תגובה אני מסכים/ה
    לוגו - פיקוד העורףפיקוד העורף

    התרעות פיקוד העורף

      walla_ssr_page_has_been_loaded_successfully