אפליקציית טיקטוק
אפליקציית טיקטוקצילום: אייסטוק

חוקרי חברת צ'ק פוינט איתרו פרצת אבטחה באפליקציית "טיקטוק" אשר אפשרה לאתר פרטי חשבון משתמש של בעלי חשבונות בטיקטוק דרך הפיצ'ר Find Friends.

הפרצה דווחה לטיקטוק ותוקנה בתיאום עם החברה.

חוקרי צ'ק פוינט אלון בוקסינר וערן ועקנין הזהירו כי הפריצה איפשרה לתוקפים להגיע למספרי הטלפון האישיים המחוברים לחשבון הטיקטוק ולהצליבם עם פרטי חשבון נוספים (ובכלל זאת כינוי, תמונות פרופיל, תעודת זהות משתמש- User ID) וכן גישה לחלק מהגדרות המשתמש (איתור עוקבים, פרופיל מוסתר).

ניצול של פרצת אבטחה מסוג זו יכולה היתה לאפשר לתוקפים, המשתמשים באמצעים אוטומטיים מתאימים, לייצר מאגר מידע רחב היקף של טלפונים ופרטים אישיים נוספים המבוססים כולם על הפרטים שהמשתמשים עדכנו בחשבונות הטיקטוק שלהם.

חולשת האבטחה ניצלה מנגנון קיים בפלטפורמה שנקרא Find Friends שמאפשר לטיקטוק לאתר אוטומטית משתמשים שנמצאים באנשי הקשר של המשתמש, דרך מספר הטלפון שלהם. המנגנון למעשה "שולח שאילתא" לשרתי הפלטפורמה והם בתגובה מספקים את המענה לשאילתא בדמות חיבור לחשבון קיים.

לפיצ'ר האמור היו הגנות, אולם החוקרים הצליחו לעקוף אותן דרך יצירת מנגנון עצמאי, שאינו מחובר לאנשי הקשר של המשתמש, אשר שלח שאילתות בהתאם לרצון התוקף. באמצעות ניצול החולשה הזו, התוקף יכול היה לייצר שאילתות לשרתי טיקטוק במכפלות של 500 מספרים על כל בקשה, ובתמורה לקבל מהפלטפורמה הצלבות של מספרי טלפון ופרטי פרופיל שלא היו מוגנים דיים.

בדרך זו, למשל, החוקרים הצליחו להשיג את פרטי המשתמש האישיים של בעלי חשבונות פופולריים בישראל (זמר, אדריכל ידוע, משפיען רשת) ואת הממצאים הם העבירו לטיקטוק.

החוקרים עבדו בצמידות עם טיקטוק בכדי לתקן את החולשה, ובהמשך למחקר טיקטוק צרפה את התגובה הבאה: "הפרטיות וההגנה על פרטיהם של חברי קהילת טיק טוק היא בעדיפות עליונה שלנו, ואנו מעריכים שיתופי פעולה עם שותפים מוסמכים כמו צ'ק פוינט שמסייעים לנו לזהות סוגיות פוטנציאליות ולתקן אותן לפני שהן משפיעות על המשתמשים. אנו נמשיך לחזק את ההגנות שלנו על ידי שדרוג היכולות הפנימיות והשקעה בהגנות אוטמטיות, וכן על ידי שיתופי פעולה עם גורמים חיצוניים".

נזכיר כי בינואר 2020 צ'ק פוינט איתרה חולשת אבטחה נוספת בטיקטוק שאפשרה להשיג מידע אישי על המשתמשים ונקיטת פעולות בחשבון. גם במקרה זה צ'ק פוינט פעלה עם טיקטוק לתיקון מלא של החולשה.

עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר: "רצינו לבחון באם הפלטפורמה הפופולרית מאפשרת נגישות לפרטים אישיים וראינו שזה אפשרי דרך מעקף של מנגנון הגנה קיים באחד מהפיצ'רים הפופולריים. שימוש רחב היקף בחולשות מעין אלו מאפשר להאקרים לייצר מאגרי מידע שמצליבים שמות למספרי טלפון, וכן פרטים נוספים, מה שמשמעותי במיוחד בחשבונות בעלי עוקבים רבים ברשתות החברתיות. מאגר כזה משמש האקרים למתקפות פישינג או לחילופין להתקפות ישירות על מכשירים של משתמשים עם פרופיל גבוה. אנו מעריכים את העובדה שטיקטוק פעלה ברצינות רבה לתקן את החולשה. ההמלצה שלנו למשתמשים ברשתות החברתיות היא לשתף בהן כמה שפחות מידע אישי ולוודא שהאפליקציות מעודכנות בגרסא האחרונה שלהן".