פרצת אבטחה זוהתה בטיקטוק; נחשף מידע אישי של משתמשים

פרצת אבטחה חמורה בטיקטוק חשפה מידע אישי רגיש על משתמשים, דוגמת פרטים מזהים, סרטונים שנצפו ושאילתות חיפוש – כך מדווחת היום חברת הסייבר הישראלית אימפרבה (Imperva). בעקבות פניית החברה חסמה טיקטוק את פרצת האבטחה.

לדברי אימפרבה, הפרצה קשורה לחולשות ביישום הרשת של טיקטוק ובאחד מכלי המפתחים שלה (API), שאפשרו לתוקף לשלוח למערכות הפלטפורמה הודעות זדוניות שהתחזו להודעות ממקור אמין, וכתוצאה מכך סיפקו גישה למידע רגיש.

גישה זו כללה ארבעה סוגי מידע. הראשון: מידע על מכשיר המשתמש, כמו סוג המכשיר, מערכת ההפעלה ופרטי דפדפן; השני: מידע על סרטונים ובכלל זה היסטוריית צפייה בסרטונים, שיכולה להביא לחשיפת העדפות אישיות ותחומי עניין, ומשך צפייה בסרטונים; השלישי: מידע אישי מזהה, כמו שם משתמש ופרטי חשבון; והרביעי: היסטוריית חיפושים באפליקציה.

"החולשה הזו היא דוגמה מעולה לכך שפרטיות ואבטחה ברשתות חברתיות תלויה במידה רבה בחברות המספקות את השירות", אמר ראש קבוצת המחקר באימפרבה, נדב אביטל, בהודעה לעיתונות. "שימוש לא בטוח בפונקציה שתלויה בקלט חיצוני גרם לדלף מידע אישי שהיה יכול לשמש האקרים למתקפות נוספת כגון פישינג, סחיטה או לחילופין להתקפות על מכשירים של משתמשים עם פרופיל גבוה. אנו מעריכים את העובדה שטיקטוק פעלה ברצינות רבה לתקן את החולשה".

מטיקטוק נמסר בתגובה: "באמצעות השותפות שלנו עם חוקרי האבטחה של אימפרבה, גילינו ותיקנו במהירות חולשה הקיימת בחלק מהגרסאות הישנות יותר של האפליקציה. אנו מודים מאוד לחוקרי אימפרבה על המאמצים שלהם לסייע בזיהוי בעיות פוטנציאליות כדי שנוכל לפתור אותן במהירות".