Falha no TikTok permitia roubar contas com apenas uma mensagem direta

Devido a uma falha existente no TikTok, grupos de hackers estariam a conseguir roubar contas de várias celebridades e influencers na plataforma, explorando uma falha zero-day no sistema de mensagens diretas da plataforma.

As falhas são consideradas zero-day quando se encontram a ser ativamente exploradas para ataques, sem uma correção implementada ou até mesmo o conhecimento das entidades associadas com a plataforma.

Neste caso em particular, tudo o que os utilizadores teriam de realizar era aceder ao sistema de mensagens diretas, onde mensagens especificamente criadas para explorarem a falha poderiam levar ao roubo da conta.

De acordo com o portal Forbes, a falha apenas requeria que as vítimas acedessem diretamente à mensagem maliciosa, sendo que não era sequer necessário aceder a links ou realizar outras tarefas diretamente. Ao abrir a mensagem diretamente pelo TikTok, a conta estaria automaticamente em controlo dos atacantes.

Este terá sido usado contra algumas contas de relevo na plataforma, como a conta da Sony, CNN e Paris Hilton, que durante algumas horas estiveram em controlo dos atacantes por explorarem esta falha.

Um porta-voz do TikTok veio confirmar a falha, tendo indicado que a mesma foi corrigida. A empresa afirma ainda que a falha terá sido explorada sobre um pequeno número de contas, e que a empresa encontra-se a trabalhar com todos os afetados para restaurar o acesso às contas. No entanto, a empresa não revelou dados concretos sobre as contas afetadas.

Ao mesmo tempo, também não foram revelados detalhes sobre a correção aplicada, embora a empresa garante que a falha já não pode ser explorada.