Kötü niyetli aktörler yakın zamanda büyük şirketlerin ve ünlülerin yüksek profilli TikTok hesaplarını hackledi ve TikTok’un doğrudan mesajlaşma özelliğindeki sıfır gün güvenlik açığından yararlandı. Bu TikTok sıfır gün güvenlik açığı, bilgisayar korsanlarının kurbanların herhangi bir şey indirmesine veya herhangi bir bağlantıya tıklamasına gerek kalmadan hesapların kontrolünü ele geçirmesine olanak tanıdı.
Sıfır gün güvenlik açığının ne olduğunun farkında olmayanlar için, bu, yazılım geliştiricilerin farkında olmadığı, yazılımdaki bir güvenlik açığıdır. Bilgisayar korsanlarının birincil hedefi olmasının nedeni, kusurla ilgili herhangi bir yama veya kamuya açık bilginin bulunmamasıdır.
TikTok’un sıfır gün güvenlik açığı CNN, Sony ve Paris Hilton’a ait hesapları etkiledi ve ele geçirdi.
Semaphor’a göre geçen hafta ele geçirilen ilk hesap CNN’in hesabı oldu. Daha sonra benzer siber saldırılar Sony ve Paris Hilton’un hesaplarını hedef aldı. Daha fazla kötüye kullanımı önlemek için TikTok bu hesapları çevrimdışına aldı.
TikTok Sıfır Gün Güvenlik Açığı Nasıl Ortaya Çıktı?
Olayı ilk bildiren Forbes’a göre, bilgisayar korsanları bir hesabı tehlikeye atmak için kötü niyetli bir doğrudan mesaj açtılar. Herhangi bir dosya indirmeye veya herhangi bir bağlantıya tıklamaya gerek olmadığı, saldırının gerçekleştirilmesinin kolay, tespit edilmesinin ise zor olduğu belirtildi.
TikTok’un güvenlik ekibine liderlik eden Alex Haurek, Forbes’a şu şekilde yanıt verdi: “Güvenlik ekibimiz, bir dizi marka ve ünlü hesabını hedef alan potansiyel bir istismarın farkında. Bu saldırıyı durdurmak ve gelecekte yaşanmasını önlemek için önlemler aldık. Gerekirse erişimi yeniden sağlamak için etkilenen hesap sahipleriyle doğrudan çalışıyoruz.”
TikTok ayrıca yalnızca az sayıda hesabın ele geçirildiğini bildirdi ancak tamamen düzeltilene kadar belirli rakamlar vermedi veya güvenlik açığının ayrıntılarını vermedi.
Önceki Güvenlik Sorunları
Bu, TikTok’un güvenlik sorunlarıyla karşılaştığı ilk sefer değil. Ağustos 2022’de Microsoft, TikTok’un Android uygulamasında bilgisayar korsanlarının tek dokunuşla hesapları ele geçirmesine olanak tanıyan bir kusur keşfetti. TikTok ayrıca saldırganların özel kullanıcı bilgilerini çalmasına, gizlilik korumalarını atlamasına ve kullanıcı videolarını manipüle etmesine olanak tanıyan diğer güvenlik hatalarını da düzeltti.
Başka bir örnekte Apple, Safari ve diğer web uygulamalarını çalıştıran WebKit’teki bir hatayı düzeltmek için bir yazılım güncellemesi yayınladı. Bu hata, etkilenen cihazlarda kötü amaçlı kod çalıştırılmasına izin vermiş olabilir. Apple bunu iPhone’lar, iPad’ler, Mac’ler ve Apple TV de dahil olmak üzere tüm cihazlarına hızla uyguladı.
2023’ün ortalarında TikTok, veri koruma yasalarının birden fazla ihlali nedeniyle Bilgi Komiserliği Ofisi (ICO) tarafından 12,7 milyon £ para cezasına çarptırıldı. Bunlar arasında 2020 yılında 13 yaşın altındaki bir milyondan fazla çocuğun kendi hizmet şartlarına aykırı olarak ebeveyn izni olmadan platformunu kullanmasına izin verilmesi de yer alıyor.
ICO’nun araştırması, TikTok’un, kullanıcıların en az 13 yaşında olması gerektiğini belirten kurallarına rağmen, 13 yaşın altındaki tahmini 1,4 milyon İngiliz çocuğunun hesap oluşturmasına ve platformunu kullanmasına izin verdiğini ortaya çıkardı.
Bu, 13 yaşın altındaki çocuklara bilgi toplumu hizmetleri sunan kuruluşlar için Birleşik Krallık veri koruma yasası kapsamında bir gereklilik olan, ebeveynlerinin veya vasilerinin uygun rızası veya izni olmadan çocuk verilerinin yasa dışı işlenmesiyle sonuçlandı.
Ayrıca TikTok, kullanıcılarına, özellikle de çocuklara, verilerinin nasıl toplandığı, kullanıldığı ve paylaşıldığı konusunda açık ve anlaşılır bir şekilde yeterli bilgi sağlayamadı.
Bu şeffaflık eksikliği, kullanıcıların platformla etkileşimleri konusunda bilinçli seçimler yapmasını zorlaştırdı.