A popular plataforma de compartilhamento de vídeos TikTok reconheceu uma falha de segurança que tem sido explorada por agentes mal-intencionados para assumir o controle de contas de alto perfil. A notícia foi primeiramente reportada pelo Semafor e pela Forbes, que detalharam uma campanha de tomada de contas zero clique, permitindo que malware propagado via mensagens diretas comprometesse contas de marcas e celebridades sem necessidade de interação. Atualmente, não está claro quantos usuários foram afetados, embora um porta-voz do TikTok tenha afirmado que a empresa tomou medidas preventivas para interromper o ataque e impedir que ele ocorra novamente no futuro. A empresa também está trabalhando diretamente com os titulares das contas afetadas para restaurar o acesso e afirmou que o ataque comprometeu apenas um “número muito pequeno” de usuários. No entanto, não foram fornecidos detalhes específicos sobre a natureza do ataque ou as técnicas de mitigação empregadas.
Essa não é a primeira vez que problemas de segurança são descobertos no serviço amplamente utilizado. Em janeiro de 2021, a Check Point detalhou uma falha no TikTok que poderia potencialmente permitir que um invasor construísse um banco de dados dos usuários do aplicativo e seus números de telefone associados para atividades maliciosas futuras. Em setembro de 2022, a Microsoft descobriu uma exploração de um clique que afetava o aplicativo Android do TikTok, permitindo que atacantes assumissem contas quando as vítimas clicassem em um link especialmente elaborado. Além disso, no ano passado, foi reportado que até 700.000 contas do TikTok na Turquia foram comprometidas após relatos de que o roteamento cinza de mensagens SMS através de canais inseguros permitiu que adversários interceptassem senhas de uso único e ganhassem acesso às contas dos usuários do TikTok, inflando curtidas e seguidores.
Atores mal-intencionados também capitalizaram o Desafio Invisível do TikTok para entregar malware de roubo de informações, destacando os esforços contínuos dos atacantes para espalhar malware por meios não convencionais. As raízes chinesas do TikTok levantaram preocupações de que o aplicativo poderia ser usado como um meio para coletar informações sensíveis sobre usuários americanos e promover propaganda, o que eventualmente levou à aprovação de uma lei que proíbe o aplicativo de vídeo no país, a menos que seja desmembrado da ByteDance.