קבוצת המחקר של חברת הסייבר אימפרבה (imperva) חשפה היום (רביעי) חולשת אבטחה חמורה המצויה ברשת החברתית הפופולרית טיקטוק, המשפיעה על למעלה ממיליארד משתמשים ברחבי העולם, כשרבים מהם ילדים ובני נוער. החולשה איפשרה לתוקפים להדליף מידע על כל משתמש בפלטפורמה במידה והוא פותח קישור. המידע כולל פרטים של המכשיר, פרטים של המשתמש, היסטוריית צפיות, חיפוש, זמן צפייה ועוד.
לדברי חברת אבטחת הסייבר, חולשת האבטחה התגלתה במערכת של הפלטפורמה שעוקבת אחר נתוני המשתמשים, כאשר החולשה נגרמה עקב חוסר אימות גם בקבלה וגם בשליחה של הודעות פנימיות במערכת. חשוב לציין כי לאחר חשיפת חולשת האבטחה, נעשתה פנייה לחברה ולאחר זמן קצר הבעיה נפתרה במלואה.
למעשה, התוקף יכול לזהות את סוג המכשיר של המשתמש, מערכת ההפעלה ופרטי הדפדפן. בנוסף, לשאוב מידע אישי יותר - באילו סרטונים המשתמש צפה בפלטפורמה, מה שעלול לחשוף את תחומי העניין וההעדפות של המשתמש, ואפילו היסטוריית החיפושים.
נדב אביטל, ראש קבוצת המחקר בחברת אימפרבה (imperva): "החולשה הזו היא דוגמה מעולה לכך שפרטיות ואבטחה ברשתות חברתיות תלויה במידה רבה בחברות המספקות את השירות. שימוש לא בטוח בפונקציה שתלויה בקלט חיצוני גרם לדלף מידע אישי שהיה יכול לשמש האקרים למתקפות נוספת כגון פישינג, סחיטה או לחילופין להתקפות על מכשירים של משתמשים עם פרופיל גבוה. אנו מעריכים את העובדה שטיקטוק פעלה ברצינות רבה לתקן את החולשה".
מטיקטוק נמסר בתגובה: "באמצעות השותפות שלנו עם חוקרי האבטחה של אימפרבה, גילינו ותיקנו במהירות חולשה הקיימת בחלק מהגרסאות הישנות יותר של האפליקציה. אנו מודים מאוד לחוקרי אימפרבה על המאמצים שלהם לסייע בזיהוי בעיות פוטנציאליות כדי שנוכל לפתור אותן במהירות".