-La aplicación de TikTok ya tiene más de mil millones de veces instalada

-Los datos que intentaron recolectar los ciberatacantes usualmente se usan para extorsionar

-También hubo intentos de robo de identidad cibernética

ByteDance, la empresa de tecnología detrás de TikTok, informó hoy que hubo un intento de vulnerar la seguridad en el servicio de redes sociales para compartir videos; este intento podría haber permitido a los atacantes robar información personal privada de los usuarios.

TikTok tiene servidores en los países donde operan sus aplicaciones de iOS y Android y se usa para compartir videos móviles en bucle de formato corto de 3 a 60 segundos.

La aplicación de Android tiene más de mil millones de veces instalada, de acuerdo con las estadísticas de Google Play Store, y también ha superado los 2 mil millones de descargas en todas las plataformas móviles durante el mes abril de 2020, según las estadísticas de Sensor Tower Store Intelligence.

Notas relacionadas: Telegram vende más de 500 millones de números de usuarios de Facebook

Datos privados de usuarios expuestos al robo de datos

La vulnerabilidad de seguridad encontrada por los analistas de Check Point, en ‘Find Friends’ de TikTok, permitió a los atacantes eludir las protecciones de privacidad de la plataforma, lo que les permitió acceder a la información personal privada de los usuarios, entre esta data, entre números de teléfono e ID de usuario.

“Los detalles del perfil a los que se pudo acceder a través de la vulnerabilidad incluyen el número de teléfono, el nickname; las imágenes de perfil, avatar, las ID de usuario únicas, así como ciertas configuraciones de perfil, como si un usuario es un seguidor o si el perfil del usuario está oculto”, aseguró Check Point. .

TikTok reveló que la información que se intentó extraer en este ataque es del tipo que los ciberatacantes usan para extorsionar a usuarios de las redes sociales. De acuerdo con BleepingComputer, blog especializado en ataques cibernéticos, para explotar este error y eludir las defensas de privacidad de TikTok, los piratas informáticos tendrían que:

-Crear una lista de dispositivos que se utilizarán para consultar los servidores de TikTok.
-Omitir el mecanismo de firma de mensajes HTTP de TikTok, utilizando su propio servicio de firma, ejecutado en segundo plano.
-Modificar las solicitudes HTTP, resignelas y use varios tokens de sesión e ID de dispositivo para evitar los mecanismos de protección de TikTok.

La información detallada sobre cómo se podría explotar la vulnerabilidad para robar la información privada de los usuarios de TikTok está disponible en el informe de Check Point compartido con BleepingComputer.

Vulnerabilidad ahora arreglada
ByteDance abordó la vulnerabilidad de TikTok luego de la divulgación a cargo de Check Point, según la empresa, ya se han bloqueado “fallos” para evitar futuros intentos de eludir los candados de privacidad de la plataforma.

“Un atacante con ese grado de información sensible podría realizar una variedad de actividades maliciosas, como spear phishing u otras acciones criminales. Nuestro mensaje para los usuarios de TikTok es compartir lo mínimo cuando se trata de sus datos personales”, aconsejó Check Point.