Недостаток популярного приложения для обмена видео TikTok оставил номера телефонов и настройки профиля открытыми для злонамеренных действий.
Исследователи из компании Check Point, занимающейся кибербезопасностью, заявили во вторник, что уязвимость TikTok, обнаруженная в популярном приложении для обмена видео TikTok, подвергает пользователей извлечению личной информации из их профиля, включая номер телефона и настройки профиля. По словам исследователей, эта информация могла быть использована для манипулирования данными учетных записей пользователей и создания базы данных пользователей TikTok на предмет злонамеренных действий.
По словам Check Point, из-за недостатка в функции «Найти друзей» были обнаружены никнеймы пользователей, изображения профилей и аватаров, а также уникальные идентификаторы пользователей. Нет никаких доказательств того, что уязвимость когда-либо использовалась, и, как сообщается, недостаток был исправлен.
«Злоумышленник с такой степенью конфиденциальной информации может выполнить ряд злонамеренных действий, таких как целевой фишинг или другие преступные действия», – заявил представитель Check Point Экрам Ахмед. «Мы обращаемся к пользователям TikTok с просьбой поделиться минимумом, когда дело касается ваших личных данных».
TikTok назвал безопасность и конфиденциальность в своем сообществе своим наивысшим приоритетом и поблагодарил Check Point за то, что они обратили внимание на уязвимость.
«Мы продолжаем укреплять нашу защиту, постоянно совершенствуя наши внутренние возможности, такие как инвестиции в средства защиты автоматизации, а также работая с третьими сторонами», – говорится в заявлении представителя TikTok.
TikTok, который работает за пределами Китая, но принадлежит китайской технологической компании ByteDance, столкнулся со своей долей споров, когда дело доходит до безопасности пользовательских данных. В 2019 году пользователь из Калифорнии подал на компанию в суд, утверждая, что TikTok делится пользовательскими данными с правительством Китая. Армия США запретила военнослужащим использовать приложение на правительственных телефонах после того, как они изначально использовали эту службу для вербовки.
Это также не первая уязвимость, обнаруженная в TikTok. Ранее в этом месяце исследователи компании выявили в приложении серию программных недостатков, которые открыли дверь для ряда атак на пользователей, включая отправку текстовых сообщений со ссылками на вредоносное ПО и манипулирование видео, хранящимися в сервисе.