ByteDance ha risolto la vulnerabilità che, nei giorni scorsi, ha permesso ad alcuni cybercriminali rimasti poi nascosti nell’ombra di effettuare il furto degli account su TikTok semplicemente inviando loro un messaggio privato. Sono caduti nella trappola alcuni brand e celebrità, come CNN, Sony e Paris Hilton. Curiosamente, nessun post è stato pubblicato in seguito alla violazione.
Furto dell’account TikTok, vulnerabilità corretta
Non era necessario eseguire alcuna azione (download, tap sui link o altro). La sola apertura innescava il meccanismo necessario per trasferire il profilo nelle mani dei malintenzionati. Una dinamica piuttosto insolita e, proprio per questo, ancor più pericolosa.
Rimangono per il momento senza identità gli autori dell’attacco. Non è chiaro nemmeno quale sia la vulnerabilità forzata, comunque ora risolta, come reso noto da ByteDance alla redazione di Axios.
Una delle ipotesi è quella formulata dai ricercatori di Malwarebytes Labs che puntano il dito contro le modalità impiegate per il caricamento dei contenuti inclusi nei messaggi privati. La tecnica è comunque definita inusuale.
Sebbene l’azione abbia preso di mira solo alcuni account piuttosto noti (come già scritto di grandi aziende e celebrità), potrebbe potenzialmente essere rivolta a tutti. Considerando le contromisure adottate da ByteDance per correggere la falla, ci sono alcune buone pratiche da seguire per mettere al sicuro il proprio profilo e i propri dati: utilizzare una password solida e diversa rispetto a quelle degli altri servizi, abilitare l’autenticazione a due fattori, controllare i dispositivi attivi e porre sempre attenzione al mittente quando si riceve una comunicazione.
Ricordiamo che il social network è alle prese con una battaglia legale per evitare la vendita forzata del business negli USA. Inoltre, nei giorni scorsi ha accolto Donald Trump. Il tycoon sfrutterà la piattaforma durante la sua campagna elettorale, pur essendo stato in passato uno dei più ferventi sostenitori del suo ban dagli Stati Uniti.