Недавно специалисты рассказали о том, что пользователям популярной платформы TikTok угрожает критическая уязвимость. Более того, с ее помощью хакеры могут взламывать учетные записи. По всей видимости, для атаки требовалось воспользоваться еще одной уязвимостью. Подобной компрометации опасается каждая социальная платформа, так как нападению подрывают доверие пользователей. Особенно тех, которые прошли курсы по кибербезопасности и защите данных и знают, как должна выглядеть защита.
Как удалось обнаружить уязвимости, курсы по кибербезопасности и защите данных
Прежде всего стоит отметить, что платформа TikTok предварительно обеспокоилась дополнительной защитой сервиса. Для этого ее создатели открыли программу bug bounty. Более того, ее официальный статус помог многим специалистам обнаружить различные баги. Тем не менее, не всегда уязвимости можно достаточно быстро обнаружить. Потому каждой компании, которая анонсирует bug bounty, необходимо делать ее привлекательной. В частности, стоит везде упоминать о том, что программа официальная. А также сообщать размер вознаграждения. Это позволит привлечь больше специалистов, прошедших курсы по кибербезопасности с нуля онлайн.
По всей видимости, один из исследователей все же решил недавно протестировать систему. В ходе проверки он обнаружил две уязвимости, которые и сами по себе представляли опасность. Однако специалист смог объединить их в один критический баг и создать для него эксплойт. В результате получилась, уязвимость, которая позволяла легко взломать учетную запись в TikTok. Стоит отметить, что в первую очередь хакеры наверняка бы заинтересовались аккаунтами знаменитостей.
Первая уязвимость находилась в параметрах URL, которые использовала платформа. Причем затрагивала она как официальный сайт, так и его мобильную версию. Из-за бага хакер мог выполнить в браузере пользователя вредоносный код прямо во время сессии. Вторая уязвимость находилась в конечной точке API. С ее помощью злоумышленник мог отслеживать пользователей, которые зарегистрировались в TikTok при помощи других сервисов. Более того, хакер без труда мог изменить их пароли. Причем пострадать могли бы даже учетные записи тех, кто прошел бесплатные курсы по кибербезопасности с нуля и может себя обезопасить.
Последствия обнаружения уязвимостей
Сложив оба бага вместе, исследователь смог с легкостью взломать несколько учетных записей. Потому, сразу после обнаружения проблем, специалист написал разработчикам TikTok. Те быстро поняли, что если бы эти уязвимости обнаружит даже не самый опытный хакер, он смог бы:
- взломать аккаунты;
- ограничить доступ к ним владельцам;
- похитить конфиденциальную информацию.
Безусловно, оставлять все без изменений никто не стал. Разработчики платформы поспешили выпустить патчи, которые ликвидировали баги. Тем не менее они попросили специалиста, прошедшего курсы по кибербезопасности в Санкт Петербурге, не рассказывать про найденные уязвимости. По крайней мере до тех пор, пока не проведут полноценную проверку патчей.
Однако на сегодняшний день пользователям TikTok ничего не угрожает. А исследователь получил награду в 3860 долларов. Теперь разработчики платформы планируют расширить программу bug bounty, которая спасла их сервис от взлома. Возможно, их опыт начнут перенимать и все остальные соцсети. Тогда пользователи смогут в меньшей степени беспокоиться о конфиденциальности своих данных.
