Au cours de la semaine écoulée, des attaquants ont détourné des comptes TikTok très médiatisés appartenant à plusieurs entreprises et célébrités, exploitant une vulnérabilité zero-day dans la fonction de messages directs des médias sociaux.

Les vulnérabilités Zero-day sont des failles de sécurité sans correctif officiel ni information publique détaillant la faiblesse sous-jacente.

Après avoir été compromis, les comptes d’utilisateurs appartenant à Sony, CNN et Paris Hilton ont dû être supprimés pour éviter les abus. Le compte de CNN a été le premier à être détourné la semaine dernière, comme Semaphor l’a signalé pour la première fois dimanche.

Comme Forbes l’a signalé aujourd’hui, l’exploit utilisé par les attaquants pour pirater les comptes via DMs nécessite uniquement que les cibles ouvrent le message malveillant et ne nécessite pas de télécharger une charge utile ou de cliquer sur des liens intégrés.

« Notre équipe de sécurité est au courant d’un exploit potentiel ciblant un certain nombre de comptes de marques et de célébrités », a déclaré Alex Haurek, porte-parole de TikTok, à Forbes.

« Nous avons pris des mesures pour arrêter cette attaque et l’empêcher de se reproduire à l’avenir. Nous travaillons directement avec les propriétaires de comptes concernés pour rétablir l’accès, si nécessaire. »

Selon Haurek, les attaquants n’ont compromis qu’un très petit nombre de comptes TikTok. La société n’a pas encore révélé le nombre exact d’utilisateurs affectés et n’a partagé aucun détail concernant la vulnérabilité exploitée jusqu’à ce que la faille sous-jacente soit corrigée.

Pas la première faille permettant des prises de contrôle de compte
Ce n’est pas la première vulnérabilité à affecter les utilisateurs de TikTok ces dernières années. Plus récemment, la société a corrigé une faille d’application Android découverte par Microsoft en août 2022 qui permettait aux pirates informatiques de prendre « rapidement et discrètement » le contrôle des comptes en un seul clic.

Auparavant, il corrigeait des bogues de sécurité qui permettaient aux attaquants de contourner les protections de la confidentialité de la plate-forme et de voler les informations privées des utilisateurs, y compris les numéros de téléphone et les identifiants des utilisateurs.

La société a également corrigé des vulnérabilités qui permettaient aux acteurs de la menace de détourner les comptes des utilisateurs qui s’inscrivaient via des applications tierces et de compromettre les comptes pour manipuler les vidéos des propriétaires et voler leurs informations personnelles.

TikTok a dépassé le milliard d’utilisateurs en septembre 2021 et compte actuellement plus d’un milliard de téléchargements sur le Play Store de Google et 17 millions d’évaluations sur l’App Store iOS.

Contacté par Breachtrace plus tôt dans la journée pour plus d’informations sur le nombre de comptes compromis et la vulnérabilité exploitée dans les attaques, un porte-parole de TikTok n’était pas immédiatement disponible pour commenter.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *