![TikTok](https://www.cyberteam.info/wp-content/uploads/2024/06/TikTok.webp)
Nell’ultima settimana, attaccanti hanno dirottato account TikTok di alto profilo appartenenti a diverse aziende e celebrità, sfruttando una vulnerabilità zero-day nella funzionalità dei messaggi diretti del social media.
Le vulnerabilità zero-day sono falle di sicurezza senza una patch ufficiale o informazioni pubbliche che dettagliano la debolezza sottostante.
Dopo essere stati compromessi, gli account degli utenti appartenenti a Sony, CNN e altri sono stati disattivati per prevenire abusi. L’account di CNN è stato il primo a essere dirottato la scorsa settimana, come riportato da Semaphor domenica.
Secondo quanto riportato da Forbes, l’exploit utilizzato dagli attaccanti per hackerare gli account tramite messaggi diretti richiede solo che i bersagli aprano il messaggio malevolo e non necessita di scaricare un payload o cliccare su link incorporati.
Dichiarazione di TikTok e misure adottate
“Il nostro team di sicurezza è a conoscenza di un potenziale exploit che prende di mira un numero di account di alto profilo,” ha detto Jason Grosse, portavoce di TikTok.
“Abbiamo preso misure per fermare questo attacco e prevenire che accada in futuro. Stiamo lavorando direttamente con i proprietari degli account interessati per ripristinare l’accesso, se necessario.”
Secondo Grosse, gli attaccanti hanno compromesso solo un “piccolo numero” di account TikTok, secondo un'”analisi iniziale.” L’azienda non ha ancora rivelato il numero esatto di utenti impattati e non ha condiviso dettagli riguardo alla vulnerabilità sfruttata fino a quando la falla sottostante non sarà corretta.
Precedenti vulnerabilità che hanno permesso il dirottamento degli account
Questa non è la prima vulnerabilità che impatta gli utenti di TikTok negli ultimi anni. Più recentemente, l’azienda ha corretto una falla dell’app Android scoperta da Microsoft nell’agosto 2022 che permetteva agli hacker di prendere il controllo degli account “rapidamente e silenziosamente” con un solo tocco.
In precedenza, ha risolto bug di sicurezza che permettevano agli attaccanti di bypassare le protezioni sulla privacy della piattaforma e rubare informazioni private degli utenti, inclusi numeri di telefono e ID utente.
L’azienda ha anche risolto vulnerabilità che permettevano agli attori di minacce di dirottare gli account degli utenti che si iscrivevano tramite app di terze parti e compromettere gli account per manipolare i video dei proprietari e rubare le loro informazioni personali.
TikTok ha superato 1 miliardo di utenti nel settembre 2021 e attualmente ha oltre 1 miliardo di download sul Play Store di Google e 17 milioni di valutazioni sull’App Store di iOS.
![](https://www.cyberteam.info/wp-content/uploads/2022/01/Maurizio.png)
Problem Solver e Cyber Security Advisor, si occupa di sicurezza informatica e di Ethical Hacking da oltre 20 anni.
Da diversi anni tiene corsi di Ethical Hacking e consapevolezza della sicurezza informatica formando centinaia di persone nell’IT e migliaia di risorse aziendali.
Tre caratteristiche che lo distinguono:
La passione/ossessione per le password
Ha chiamato Hash anche il suo gatto
Il papillon
Colore preferito? Verde, ovviamente!