Tài khoản TikTok của nhiều người nổi tiếng trên thế giới bị tấn công

Thông tin này được báo cáo đầu tiên bởi trang tin tức Semafor và tạp chí Forbes, trong đó đã trình bày chi tiết về chiến dịch chiếm đoạt tài khoản không cần nhấp chuột (zero-click), cho phép phần mềm độc hại được lan truyền qua tin nhắn trực tiếp để xâm nhập tài khoản của các thương hiệu và người nổi tiếng mà không cần họ phải nhấp chuột hoặc tương tác với bất kỳ nội dung nào.

Tin tặc đã tận dụng một lỗ hổng bảo mật chưa được nhà phát triển biết đến và chưa được vá (còn được gọi là lỗ hổng zero-day) trong thành phần nhắn tin, cho phép mã độc thực thi ngay khi tin nhắn được mở.

Hiện tại vẫn chưa rõ có bao nhiêu người dùng bị ảnh hưởng, mặc dù người phát ngôn của TikTok cho biết công ty đã thực hiện các biện pháp ngăn chặn để ngăn chặn cuộc tấn công và ngăn nó tiếp tục xảy ra trong tương lai.

Công ty cho biết thêm rằng họ đang làm việc trực tiếp với những người sở hữu tài khoản bị ảnh hưởng để khôi phục quyền truy cập và cuộc tấn công chỉ kiểm soát được một “số lượng rất nhỏ” người dùng. Tuy nhiên, TikTok không cung cấp bất kỳ chi tiết cụ thể nào về bản chất của cuộc tấn công hoặc các kỹ thuật giảm thiểu mà họ đã sử dụng.

Đây không phải là lần đầu tiên các vấn đề bảo mật được phát hiện trong dịch vụ được sử dụng rộng rãi này. Vào tháng 1 năm 2021, nhà cung cấp giải pháp bảo mật Check Point (Israel) cũng đã tiết lộ về một lỗ hổng trong TikTok có thể cho phép kẻ tấn công xây dựng cơ sở dữ liệu về người dùng của ứng dụng và các số điện thoại liên quan của họ cho các hoạt động độc hại trong tương lai.

Sau đó, vào tháng 9 năm 2022, Microsoft đã phát hiện ra một lỗ hổng chỉ cần nhấp chuột ảnh hưởng đến ứng dụng TikTok trên thiết bị sử dụng hệ điều hành Android, có thể cho phép kẻ tấn công chiếm quyền kiểm soát tài khoản khi nạn nhân nhấp chuột vào liên kết do tin tặc cung cấp.

Một vấn đề khác được công ty an ninh mạng Imperva (Mỹ) tiết lộ cách đây hơn một năm cho thấy, lỗ hổng bảo mật trên ứng dụng TikTok có thể cho phép kẻ tấn công theo dõi hoạt động của người dùng và truy cập thông tin nhạy cảm trên cả thiết bị di động và máy tính để bàn.

Công ty an ninh mạng Imperva cho biết: “Bằng cách khai thác lỗ hổng này, kẻ tấn công có thể gửi tin nhắn độc hại đến ứng dụng web TikTok thông qua giao diện lập trình ứng dụng PostMessage API, vượt qua các biện pháp bảo mật. Bộ xử lý tin nhắn sau đó sẽ xử lý tin nhắn độc hại như thể nó đến từ một nguồn đáng tin cậy, cho phép kẻ tấn công truy cập vào thông tin nhạy cảm của người dùng”.

Không chỉ vậy, có tới 700.000 tài khoản TikTok ở Thổ Nhĩ Kỳ đã bị phát hiện bị xâm phạm vào năm ngoái, sau khi có báo cáo rằng việc định tuyến tin nhắn SMS thông qua các kênh không an toàn cho phép tin tặc can thiệp vào mật khẩu dùng một lần và truy cập vào tài khoản TikTok của người dùng để tăng lượt thích và người theo dõi.

Những kẻ xấu cũng đã tận dụng trào lưu “Thách thức vô hình” của TikTok để phân phối phần mềm độc hại đánh cắp thông tin, cho thấy những nỗ lực liên tục của kẻ tấn công nhằm lan truyền phần mềm độc hại thông qua các phương thức không chính thống.

Các vụ tấn công tài khoản có lượng người theo dõi lớn như TikTok vẫn tiềm ẩn nhiều nguy hiểm, vì khả năng phát tán phần mềm độc hại hoặc thông tin sai lệch sẽ nhanh chóng hơn nhiều.

Đây là một lời cảnh báo nghiêm trọng đối với người dùng TikTok, đặc biệt là những người nổi tiếng và thương hiệu lớn. Để bảo vệ tài khoản của mình, người dùng nên thận trọng khi mở tin nhắn từ người lạ và cập nhật ứng dụng TikTok lên phiên bản mới nhất.

Nguồn gốc Trung Quốc của TikTok đã dẫn đến lo ngại rằng ứng dụng này có thể được sử dụng như một công cụ để thu thập thông tin nhạy cảm về người dùng Mỹ và thúc đẩy hoạt động tuyên truyền, cuối cùng dẫn đến việc thông qua luật cấm ứng dụng TikTok ở nước này trừ khi nó được thoái vốn khỏi công ty mẹ ByteDance.

Phản ứng lại lệnh cấm của Mỹ, TikTok đã đệ đơn kiện lên tòa án Mỹ để chống lại hành động này, tuyên bố đó là “sự can thiệp bất thường vào quyền tự do ngôn luận” và Mỹ chỉ đưa ra “những lo ngại mang tính suy đoán” để biện minh cho lệnh cấm.

Ứng dụng video ngắn TikTok đã bị nhiều quốc trên thế giới ra lệnh cấm sử dụng như Ấn Độ, Nepal, Senegal, Somalia và Kyrgyzstan. Bên cạnh đó, một số quốc gia như Mỹ, Anh, Canada, Úc và New Zealand đã cấm sử dụng ứng dụng này trên các thiết bị của chính phủ.