TikTok ha confirmado una vulnerabilidad zero-day que los atacantes aprovecharon para secuestrar varias cuentas pertenecientes a celebridades y marcas. Los atacantes explotaron una falla de seguridad no especificada en la función de mensajes directos (DM) de la aplicación de redes sociales. La empresa ha logrado detener el ataque, pero no antes de que algunas cuentas importantes cayeran en él.
Vulnerabilidad zero-day de TikTok comprometió algunas cuentas importantes
Las vulnerabilidades zero-day son fallas de seguridad que no tienen un parche oficial o carecen de información pública detallando la falla. En este caso, una vulnerabilidad en la función de DM de TikTok permitía a los atacantes secuestrar cuentas simplemente enviando un mensaje. El objetivo solo necesita abrir el mensaje malicioso. La explotación no requiere descargar ningún archivo ni hacer clic en ningún enlace. Abrir el mensaje es suficiente para que un usuario entregue su cuenta al atacante.
En la última semana, los atacantes han explotado esta vulnerabilidad para secuestrar varias cuentas destacadas de TikTok, incluidas cuentas pertenecientes a Sony, CNN y Paris Hilton. Se informó que CNN fue la primera cuenta en caer presa del ataque. Las cuentas comprometidas fueron posteriormente suspendidas temporalmente, ya sea por TikTok o los titulares de las cuentas, para evitar abusos. Hasta la fecha de esta redacción, TikTok parece no haber parcheado la vulnerabilidad, pero ha detenido el ataque.
“Nuestro equipo de seguridad está al tanto de un posible exploit dirigido a varias cuentas de marca y celebridades”, dijo el portavoz de TikTok Alex Haurek en un comunicado a Forbes. “Hemos tomado medidas para detener este ataque y evitar que suceda en el futuro. Estamos trabajando directamente con los propietarios de las cuentas afectadas para restaurar el acceso, si es necesario”. Haurek no especificó la cantidad de cuentas comprometidas, pero dijo que es “un número muy pequeño”.
TikTok aún no ha detallado la vulnerabilidad que permitió a los atacantes secuestrar cuentas tan fácilmente. Probablemente no compartirá más detalles hasta que la falla esté parcheada. Esa es la práctica estándar con las vulnerabilidades zero-day. Los detalles no se comparten hasta que la mayoría de los usuarios hayan instalado el parche. Ojalá las medidas de seguridad temporales contra la falla sean lo suficientemente fuertes como para prevenir más ataques. Los usuarios de TikTok deben evitar abrir mensajes directos sospechosos.
TikTok ha sufrido tomas de cuentas en numerosas ocasiones en el pasado
Esta no es la primera vez que una vulnerabilidad de TikTok ha provocado secuestros de cuentas. La plataforma de redes sociales ha sufrido ataques similares en numerosas ocasiones en el pasado. Más recientemente, una falla en la aplicación de Android permitió a los atacantes tomar silenciosamente el control de las cuentas con un solo toque. TikTok también ha tenido muchos otros problemas de privacidad. Siempre debes mantener la aplicación actualizada y estar atento para evitar problemas de privacidad y seguridad. Puedes actualizar la aplicación desde la Google Play Store.