この1週間、攻撃者はソーシャルメディアのダイレクトメッセージ機能のゼロデイ脆弱性を悪用し、複数の企業や有名人の有名なTikTokアカウントを乗っ取った。
ゼロデイ脆弱性とは、セキュリティ上の欠陥のことで、公式なパッチや、根本的な弱点の詳細に関する公開情報がない。
侵入された後、ソニーやCNNなどのユーザーアカウントは悪用を防ぐために削除された。日曜日にSemaphorが最初に報じたように、CNNのアカウントは先週最初に乗っ取られた。
フォーブスが本日報じたように、攻撃者がDM経由でアカウントをハッキングするために使用したエクスプロイトは、ターゲットが悪意のあるメッセージを開くだけでよく、ペイロードをダウンロードしたり、埋め込まれたリンクをクリックしたりする必要はない。
「TikTokの広報担当者Jason Grosseは、「私たちのセキュリティチームは、多くの著名なアカウントを標的とした潜在的なエクスプロイトを認識しています。
「私たちはこの攻撃を阻止し、今後このようなことが起こらないようにするための対策を講じました。私たちは、影響を受けたアカウント所有者と直接協力し、必要に応じてアクセスを回復しています。”
グロッセ氏によると、”初期分析 “によれば、攻撃者は “少数 “のTikTokアカウントを侵害しただけだという。同社は、影響を受けたユーザーの正確な数をまだ明らかにしておらず、根本的な欠陥が修正されるまで、悪用された脆弱性に関する詳細を共有していない。
アカウント乗っ取りを可能にする最初の欠陥ではない
近年、TikTokユーザーに影響を与えた脆弱性はこれが初めてではない。最近では、2022年8月にマイクロソフトが発見した、ハッカーがワンタップでアカウントを「迅速かつ静かに」乗っ取ることができるAndroidアプリの欠陥にパッチを当てた。
それ以前には、攻撃者がプラットフォームのプライバシー保護を迂回し、電話番号やユーザーIDを含むプライベートなユーザー情報を盗むことを可能にするセキュリティバグを修正した。
同社はまた、サードパーティ製アプリ経由でサインアップしたユーザーのアカウントを乗っ取り、所有者の動画を操作したり個人情報を盗んだりするためにアカウントを侵害することを可能にする脆弱性も修正した。
TikTokは2021年9月にユーザー数10億人を突破し、現在グーグルのPlayストアでは10億ダウンロードを超え、iOSのApp Storeでは1700万件の評価を得ている。
Update June 05, 14:50 EDT:記事を修正し、漏洩したアカウントリストからパリス・ヒルトンのアカウントを削除。
Comments