Cuentas de alto perfil de TikTok pertenecientes a empresas y celebridades han sido secuestradas por atacantes durante la última semana, aprovechando una vulnerabilidad de día cero en la función de mensajes directos de la red social.
Las vulnerabilidades de día cero son fallas de seguridad sin parche oficial ni información pública que detalle la debilidad subyacente.
Tras ser comprometidas, las cuentas de usuario pertenecientes a Sony, CNN y Paris Hilton tuvieron que ser desactivadas para evitar abusos. La cuenta de CNN fue la primera en ser secuestrada la semana pasada, según informó Semaphor el domingo.
Forbes informó que el exploit utilizado por los atacantes para hackear las cuentas a través de mensajes directos solo necesita que los objetivos abran el mensaje malicioso y no requiere descargar una carga útil o hacer clic en enlaces incrustados.
«Nuestro equipo de seguridad está al tanto de un posible exploit dirigido a una serie de cuentas de marcas y celebridades», dijo el portavoz de TikTok, Alex Haurek, a Forbes. «Hemos tomado medidas para detener este ataque y evitar que vuelva a suceder en el futuro. Estamos trabajando directamente con los propietarios de cuentas afectados para restaurar el acceso, si es necesario».
Según Haurek, los atacantes solo han comprometido un número muy pequeño de cuentas de TikTok. La compañía aún no ha revelado el número exacto de usuarios afectados y no ha compartido ningún detalle sobre la vulnerabilidad explotada hasta que se corrija la falla subyacente.
Esta no es la primera vulnerabilidad que afecta a los usuarios de TikTok en los últimos años. Más recientemente, la compañía parcheó una falla en la aplicación de Android descubierta por Microsoft en agosto de 2022 que permitía a los piratas informáticos apoderarse de cuentas «de manera rápida y silenciosa» con un solo toque.
Anteriormente, corrigieron errores de seguridad que permitían a los atacantes eludir las protecciones de privacidad de la plataforma y robar información privada del usuario, incluidos números de teléfono e identificadores de usuario. La compañía también corrigió vulnerabilidades que permitían a los actores maliciosos secuestrar las cuentas de los usuarios que se registraban a través de aplicaciones de terceros y comprometer las cuentas para manipular los videos de los propietarios y robar su información personal.
Visítanos diariamente para que no te pierdas ninguna noticia. Suscríbete al canal de YouTube donde verás El Recuento y reviews de smartphones. Además, no olvides escuchar esta misma sección a través de podcasts por Spotify.
Fuente: bleepingcomputer
