TikTok устранил уязвимость, позволявшую красть персональные данные


EPA

Разработчики TikTok закрыли крупную уязвимость, которая позволяла злоумышленникам собирать из профилей пользователей конфиденциальную информацию, включая номера телефонов, никнеймы, уникальные идентификаторы и фотографии. Брешь в системе безопасности сервиса обнаружили эксперты из киберзащитной компании Check Point.

Проблема была связана с некорректной работой функции Find Friends ("Найти друзей") и касалась только пользователей, привязавших к своему аккаунту номер телефона. Отправляя к серверам TikTok вредоносные запросы, с подменой токенов сеанса и идентификаторов устройств, хакеры могли обойти механизм защиты и поставить сбор данных на поток. Впоследствии база могла использоваться для фишинговых и других атак.

"Мы призываем пользователей TikTok указывать как можно меньше данных о себе и регулярно обновлять операционную систему и приложения до последней версии", — отметили в Check Point.

В TikTok подтвердили, что ошибка была исправлена. "Мы продолжаем усиливать защиту, совершенствуем наши внутренние возможности, увеличиваем инвестиции в автоматизированные системы безопасности, а также сотрудничаем с другими организациями", — сказали представители компании.

Check Point не впервые находит "дыры" в TikTok. В ноябре 2019 года специалисты обнаружили баг, который позволял "угнать" учетную запись, сделать частные видео общедоступными и удалить их.