Jornalistas do Publicação ZDNet, citando um de seus leitores, relatam que a versão web do TikTok não recebeu autenticação multifator (via correio e SMS), que os desenvolvedores estabeleceram para todos os usuários da plataforma em agosto.
Por isso, um invasor que de alguma forma descobriu as credenciais de outra pessoa (por exemplo, através de um ataque de phishing ou força bruta) pode fazer login na conta TikTok através do site.
“Esse lapso na implementação do MFA do TikTok abre a porta para cenários em que um agente de ameaça mal-intencionado poderia contornar o MFA fazendo login em uma conta com credenciais comprometidas por meio de seu site., em vez do aplicativo móvel., — escreve jornalistas da ZDNet.
Felizmente, através da versão web, os hackers não podem alterar a senha do usuário e assumir completamente o controle da conta de outra pessoa. Basicamente, tudo o que um invasor pode fazer é enviar e publicar um novo vídeo, por exemplo, arruinar a reputação de uma conta ou anunciar um produto fraudulento em nome de um usuário popular. A publicação também observa que contas hackeadas podem ser usadas para espalhar desinformação, propaganda, e assim por diante.
Jornalistas observam que o aplicativo móvel TikTok não notifica o usuário de forma alguma sobre sessões ativas na versão web. Basicamente, isso significa que o TikTok não avisa os usuários se alguém usou suas credenciais e fez login na conta por meio de um navegador..
“É um fato bem conhecido que o Facebook e outras empresas abusaram das inscrições por SMS de dois fatores, e um indicador claro de que o TikTok fez algo semelhante é a realidade de que o fator 2 do TikTok é uma ilusão, e totalmente opcional ao usar os recursos de login do site”, - disse o pesquisador de segurança da ZDNet, Zach Edwards.
Os desenvolvedores do TikTok já prometeram corrigir o problema e estender a autenticação multifator também ao site, mas eles ainda não nomearam nenhum período específico.
“Enquanto isso, os usuários que habilitaram a MFA para sua conta TikTok por motivos de segurança não devem baixar a guarda e reutilizar senhas de outras contas, pensar que o MFA bloqueia todos os invasores. Esses usuários devem continuar a usar senhas complexas e difíceis de adivinhar”, - assessorado na empresa TikTok.
ZDNet observa que a página de login é protegida por CAPTCHA, o que significa que os usuários dificilmente podem esperar uma onda de ataques automatizados e comprometimentos massivos de contas TikTok.
Deixe-me lembrá-lo que no início deste ano, pesquisadores conseguiram hackear o TikTok usando SMS.