Geçtiğimiz hafta saldırganlar, birçok şirkete ve ünlüye ait yüksek profilli TikTok hesaplarını ele geçirerek sosyal medyanın doğrudan mesaj özelliğindeki sıfır gün güvenlik açığından yararlandı.
Sıfır gün güvenlik açıkları, temeldeki zayıflığı ayrıntılarıyla açıklayan hiçbir resmi yamanın veya kamuya açık bilginin bulunmadığı güvenlik kusurlarıdır.
Güvenliği ihlal edildikten sonra kötüye kullanımı önlemek için Sony, CNN ve Paris Hilton’a ait kullanıcı hesaplarının kapatılması gerekti. Semaphor’un Pazar günü ilk kez bildirdiği gibi, CNN’in hesabı geçen hafta ele geçirilen ilk hesap oldu.
Forbes’un bugün bildirdiği gibi, saldırganlar tarafından DM’ler yoluyla hesapları hacklemek için kullanılan istismar, yalnızca hedeflerin kötü amaçlı mesajı açmasına ihtiyaç duyuyor ve bir veri yükünün indirilmesini veya gömülü bağlantıların tıklatılmasını gerektirmiyor.
TikTok sözcüsü Alex Haurek Forbes’a “Güvenlik ekibimiz bir dizi marka ve ünlü hesabı hedef alan potansiyel bir istismarın farkında” dedi.
“Bu saldırıyı durdurmak ve gelecekte tekrarlanmasını önlemek için önlemler aldık. Gerekirse erişimi yeniden sağlamak için etkilenen hesap sahipleriyle doğrudan çalışıyoruz.”
Haurek’e göre saldırganlar yalnızca çok az sayıda TikTok hesabını ele geçirdi. Şirket, etkilenen kullanıcıların tam sayısını henüz açıklamadı ve temeldeki kusur giderilene kadar istismar edilen güvenlik açığıyla ilgili herhangi bir ayrıntıyı paylaşmadı.
Hesap devralmalarına izin veren ilk kusur değil
Bu, son yıllarda TikTok kullanıcılarını etkileyen ilk güvenlik açığı değil. Şirket, son olarak Ağustos 2022’de Microsoft tarafından keşfedilen ve bilgisayar korsanlarının tek dokunuşla hesapları “hızlı ve sessizce” ele geçirmesine olanak tanıyan bir Android uygulaması kusurunu düzeltti.
Daha önce, saldırganların platformun gizlilik korumalarını atlamasına ve telefon numaraları ve kullanıcı kimlikleri dahil özel kullanıcı bilgilerini çalmasına olanak tanıyan güvenlik hatalarını gidermişti.
Şirket ayrıca, tehdit aktörlerinin üçüncü taraf uygulamalar aracılığıyla kaydolan kullanıcıların hesaplarını ele geçirmesine ve hesap sahiplerinin videolarını manipüle etmek ve kişisel bilgilerini çalmak için hesapların güvenliğini ihlal etmesine olanak tanıyan güvenlik açıklarını da düzeltti.
TikTok, Eylül 2021’de 1 milyar kullanıcı sayısını aştı ve şu anda Google Play Store’da 1 milyarın üzerinde indirmeye ve iOS App Store’da 17 milyon derecelendirmeye sahip.
Güvenliği ihlal edilen hesapların sayısı ve saldırılarda yararlanılan güvenlik açığı hakkında daha fazla bilgi almak için bugün erken saatlerde BleepingComputer ile iletişime geçildiğinde, TikTok sözcüsü yorum yapmak için hemen müsait değildi.