Аккаунты TikTok многих известных людей по всему миру были взломаны

Об этой новости первыми сообщили новостной сайт Semafor и журнал Forbes, которые подробно описали кампанию по захвату аккаунтов без кликов, которая позволяла вредоносному ПО распространяться через личные сообщения и проникать в аккаунты брендов и знаменитостей без необходимости для них нажимать на ссылку или взаимодействовать с каким-либо контентом.

Хакеры воспользовались неизвестной и неисправленной уязвимостью безопасности (также известной как уязвимость нулевого дня) в компоненте обмена сообщениями, которая позволяла вредоносному коду выполняться сразу после открытия сообщения.

Пока неизвестно, сколько пользователей пострадало, хотя представитель TikTok заявил, что компания предприняла шаги для сдерживания атаки и предотвращения ее повторения в будущем.

Компания добавила, что работает напрямую с владельцами пострадавших аккаунтов для восстановления доступа, и что атака затронула лишь «очень небольшое количество» пользователей. Однако TikTok не предоставила никакой конкретной информации о характере атаки или использованных методах её нейтрализации.

Это не первый случай обнаружения проблем безопасности в этом популярном сервисе. В январе 2021 года израильский поставщик решений безопасности Check Point также раскрыл уязвимость в TikTok, которая могла позволить злоумышленникам создать базу данных пользователей приложения и связанных с ними номеров телефонов для будущих вредоносных действий.

Затем, в сентябре 2022 года, компания Microsoft обнаружила уязвимость одного щелчка, затрагивающую приложение TikTok на устройствах Android, которая могла позволить злоумышленнику получить контроль над учетной записью, когда жертва нажимала на ссылку, предоставленную хакером.

Другая проблема, выявленная американской компанией по кибербезопасности Imperva более года назад, показала, что уязвимость системы безопасности в приложении TikTok может позволить злоумышленникам отслеживать активность пользователей и получать доступ к конфиденциальной информации как на мобильных устройствах, так и на настольных компьютерах.

«Воспользовавшись этой уязвимостью, злоумышленник может отправлять вредоносные сообщения в веб-приложение TikTok через API PostMessage, обходя меры безопасности. Обработчик сообщений затем будет обрабатывать вредоносное сообщение как полученное из надежного источника, что позволит злоумышленнику получить доступ к конфиденциальной информации пользователя», — заявила компания по кибербезопасности Imperva.

Более того, в прошлом году было обнаружено около 700 000 аккаунтов TikTok в Турции, которые были взломаны после сообщений о том, что маршрутизация SMS-сообщений по незащищенным каналам позволяла хакерам перехватывать одноразовые пароли и получать доступ к аккаунтам пользователей TikTok для увеличения количества лайков и подписчиков.

Злоумышленники также воспользовались тенденцией «Невидимый вызов» в TikTok для распространения вредоносного ПО, крадущего информацию, что подчеркивает постоянные попытки злоумышленников распространять вредоносное ПО нетрадиционными методами.

Взлом аккаунтов с большим количеством подписчиков, таких как TikTok, по-прежнему представляет риск, поскольку возможности распространения вредоносного ПО или дезинформации в таких случаях гораздо быстрее.

Это серьёзное предупреждение для пользователей TikTok, особенно знаменитостей и крупных брендов. Чтобы защитить свои аккаунты, пользователям следует быть осторожнее, открывая сообщения от незнакомцев, и обновить приложение TikTok до последней версии.

Китайское происхождение TikTok вызвало опасения, что приложение может использоваться в качестве инструмента для сбора конфиденциальной информации о пользователях из США и пропаганды, что в конечном итоге привело к принятию закона, запрещающего приложение TikTok в стране, если оно не будет отделено от материнской компании ByteDance.

В ответ на запрет в США TikTok подал иск в американский суд, чтобы оспорить этот шаг, утверждая, что это «чрезвычайное вмешательство в свободу выражения мнений» и что США высказали лишь «спекулятивные опасения» для оправдания запрета.

Приложение для коротких видео TikTok было запрещено во многих странах мира, включая Индию, Непал, Сенегал, Сомали и Киргизию. Кроме того, некоторые страны, такие как США, Великобритания, Канада, Австралия и Новая Зеландия, запретили его использование на правительственных устройствах.