Het populaire platform voor het delen van video's TikTok heeft een beveiligingsprobleem erkend dat door bedreigingsactoren is uitgebuit om de controle over spraakmakende accounts op het platform over te nemen.
De ontwikkeling werd voor het eerst gemeld door Semafor en Forbes, die een zero-click-accountovernamecampagne beschreven waarmee malware die via directe berichten wordt verspreid, merk- en beroemdheidsaccounts kan compromitteren zonder dat er op hoeft te worden geklikt of interactie met de malware plaatsvindt.
Het is momenteel onduidelijk hoeveel gebruikers getroffen zijn, hoewel een TikTok-woordvoerder zei dat het bedrijf preventieve maatregelen heeft genomen om de aanval te stoppen en te voorkomen dat deze in de toekomst plaatsvindt.
Het bedrijf zei verder dat het rechtstreeks samenwerkt met de getroffen accounthouders om de toegang te herstellen en dat de aanval slechts een “zeer klein” aantal gebruikers in gevaar heeft gebracht. Het gaf geen details over de aard van de aanval of de mitigatietechnieken die het had toegepast.
Dit is niet de eerste keer dat er beveiligingsproblemen worden ontdekt in de veelgebruikte dienst. In januari 2021 heeft Check Point een fout in TikTok beschreven die een aanvaller mogelijk in staat had kunnen stellen een database op te bouwen van de gebruikers van de app en de bijbehorende telefoonnummers voor toekomstige kwaadwillige activiteiten.
Vervolgens ontdekte Microsoft in september 2022 een exploit met één klik die de Android-app van TikTok beïnvloedde, waardoor aanvallers accounts konden overnemen wanneer slachtoffers op een speciaal vervaardigde link klikten.
Dat is niet alles. Vorig jaar bleken maar liefst 700.000 TikTok-accounts in Turkije te zijn gehackt, nadat berichten naar voren kwamen dat de grijze routering van sms-berichten via onveilige kanalen het voor tegenstanders mogelijk maakte eenmalige wachtwoorden te onderscheppen en toegang te krijgen tot de accounts van TikTok-gebruikers en het aantal likes en volgers te vergroten .
Slechte actoren hebben ook geprofiteerd van TikTok's Invisible Challenge om informatiestelende malware te leveren, wat de voortdurende inspanningen van aanvallers benadrukt om malware op onconventionele manieren te verspreiden.
De Chinese wortels van TikTok hebben geleid tot bezorgdheid dat de app zou kunnen worden gebruikt als kanaal om gevoelige informatie over Amerikaanse gebruikers te verzamelen en propaganda te stimuleren, wat uiteindelijk heeft geleid tot de goedkeuring van een wet die de video-app in het land zou verbieden, tenzij deze wordt afgestoten van ByteDance .
Vorige maand heeft de socialemediagigant in de VS een rechtszaak aangespannen tegen de wet, waarbij hij stelde dat het een “buitengewone inbreuk op de vrijheid van meningsuiting” is en dat de VS alleen “speculatieve zorgen” hadden geuit om het verbod te rechtvaardigen.
Andere landen zoals India, Nepal, Senegal, Somalië en Kirgizië hebben soortgelijke verboden opgelegd aan TikTok, terwijl verschillende andere landen, waaronder de VS, het VK, Canada, Australië en Nieuw-Zeeland, het gebruik van de app op overheidsapparaten verbieden.