TikTok: 大規模なセキュリティ侵害によりユーザーデータと電話番号が流出

チェック・ポイントのセキュリティ研究者は、TikTok に重大な欠陥があり、多くのユーザーのデータや電話番号がハッカーにアクセスできることを発見しました。これは、連絡先をアプリケーションのメンバーのプロファイルと同期するために使用されるプロトコルのレベルです。その後、会社によって報告され、修理されました。

クレジット: Solen Feyissa / Unsplash

彼女はそうですが、2020年に最もダウンロードされたアプリ, TikTokにはすべての欠陥がないわけではありません。実際、サイバーセキュリティ研究機関チェック・ポイントは、ソーシャル ネットワークに重大な欠陥があり、ハッカーの手が届くところにあることを明らかにしました。何百万人ものユーザーの個人データ。したがって、アカウントに関連付けられたプロフィールの詳細と電話番号にアクセスできるようになりました。無期限。

欠陥は機能にある」友達を探すこれは、知人のプロフィールを見つけるために連絡先を同期することを提案します。後者は以下に基づいています2 つの HTTP リクエスト: 連絡先の名前と対応する番号を TikTok に送信するのは初めてです。次に、番号に関連付けられたユーザーのプロフィールを検索し、ニックネーム、写真、その他の情報を表示します。

通常、プロファイルの同期は以下に限定されます。ユーザーおよびデバイスあたり 1 日あたり 500 件の連絡先。それでも、チェック・ポイントは、識別に必要な要素、つまりサーバーの Cookie と、SMS で接続し、すべてを再現するときに使用されるトークンを回復することで、この制限を回避することに成功しました。Androidエミュレータ

こちらもお読みください –TikTok、若者向けのプライバシー設定を強化し、プライベートプロフィールを課す

ハッカーはこのメソッドを使用して HTTP リクエストを変更し、必要な数の電話番号を取得する可能性があります。プロセスを自動化する。このようにして、彼はこのプロトコルによってリンクされたアカウントのデータベースを確立することができました。アクセスすることも可能だろう同期されたプロファイルのすべての詳細さらに言えば、サードパーティのプラットフォームから盗まれる他の個人データも検索します。 Check Point は TikTok に欠陥の存在を警告し、それ以来、修正されました

ソース :チェックポイント