Un grave fallo de seguridad en la aplicación TikTok detectó la empresa israelí especializada en ciberseguridad Check Point Research, a través de la cual desconocidos pudieron manipular los datos de sus usuarios y subir videos.
La vulnerabilidad permitió a los criminales suplantar a la red social china y enviar una cantidad aún indeterminada de mensajes de texto con enlaces maliciosos, a través del cual pudieron entrar a las cuentas.
En noviembre de 2019, Check Point Research advirtió sobre el particular a la empresa afectada, que implementó cambios en sus servidores y lanzó actualizaciones.
“TikTok se compromete a proteger los datos del usuario. Al igual que muchas organizaciones, alentamos a los investigadores de seguridad responsables a que nos revelen de manera privada las vulnerabilidades de día cero”, dijo en un comunicado Luke Deshotels, miembro del equipo de investigadores de seguridad de TikTok.
“Antes de la divulgación pública, Check Point acordó que todos los problemas reportados fueron parcheados en la última versión de nuestra aplicación. Esperamos que esta resolución exitosa fomente la futura colaboración con los investigadores de seguridad “, añadió.
El error se originó en la función de solicitud de enlace de descarga en el sitio web de TikTok. Debido a una falla de programación, los piratas informáticos pudieron acceder al canal de SMS oficial de la compañía y, en lugar del enlace de descarga, reenviar a los usuarios uno malicioso.
Quienes hicieron clic en él, sin saberlo, terminaron cediendo el acceso a una variedad de secciones privadas de su cuenta. Una vez dentro, el hacker pudo subir videos, mostrar publicaciones privadas, eliminar archivos y ver información personal, como direcciones de correo electrónico, entre otras funciones.
Check Point pudo descubrir otra vulnerabilidad que pudo haber permitido que los piratas informáticos obtuvieran acceso a la base de datos de millones de usuarios de TikTok insertando un código malicioso dentro del sitio web oficial. Los investigadores de la firma lograron recuperar los datos privados de las cuentas, incluidos sus nombres y fechas de nacimiento, informó Digital Trends.
