Проблеми вдалося виявити дослідникам Check Point.
Уточнюється, що знаючи номер телефона, злочинці могли маніпулювати обліковими записами, отримуючи доступ до особистих даних.
Фактично декілька вразливостей у комплексі давали змогу застосовувати віддалений шкідливий код і здійснювати дії від імені жертви.
Водночас всі уразливості окремо не мали високого рівня небезпеки, але в поєднанні давали змогу хакеру видалити з профілю жертви відео, завантажити в профіль неавторизовані відео, робити приватні відео публічними, розкривати особисту інформацію, включно з адресами.
Для атак використовувалася небезпечна система надсилання SMS, пропонована Tik Tok на своєму сайті. Користувач міг надіслати на ваш номер повідомлення та отримати посилання для того, щоб завантажити додаток.
Фото: Checkpoint
Фото: Checkpoint
Відзначається, що повідомлення від особи міг надіслати зловмисник, поміщаючи в повідомлення URL, який скеровував на шкідливу сторінку для виконання коду.
Атака давала змогу застосовувати код від імені жертви, якщо користувачі натискали на посилання в SMS.
- У США адміністратор DDoS–сервісів Сергій Усатюк отримав 13 місяців тюремного ув’язнення.
