Kwetsbaarheid in TikTok stelde privégegevens van gebruikers bloot

Redactie WINMAG Pro
Check Point Research (CPR) heeft voor de tweede keer een kwetsbaarheid ontdekt in TikTok, dit keer in de functie "Vrienden zoeken". Door de kwetsbaarheid werd de privacybescherming omzeild en konden potentiële aanvallers mogelijk toegang krijgen tot de profielgegevens en dus ook telefoonnummers van gebruikers. Hierdoor zou het mogelijk zijn geweest om een database aan informatie op te bouwen en deze te gebruiken voor kwaadaardige activiteiten. Inmiddels is de kwetsbaarheid gepatcht en heeft CPR de onderzoeksbevindingen aan TikTok bekend gemaakt. Het probleem is inmiddels verholpen.

Onbeschermde profielgegevens

Onderzoekers van Check Point Research hebben een beveiligingslek ontdekt in de functie "Vrienden zoeken" van TikTok. Profielgegevens die via de kwetsbaarheid toegankelijk waren, omvatten telefoonnummer, bijnaam, profiel- en avatarafbeeldingen, unieke gebruikers-ID's en bepaalde profielinstellingen. Die laatste tonen of een gebruiker een volger van het account is en of het profiel van een gebruiker verborgen is.

CPR heeft inmiddels zijn bevindingen op verantwoorde wijze bekendgemaakt aan ByteDance, de maker van TikTok. Er werd door ByteDance een oplossing geïmplementeerd om ervoor te zorgen dat TikTok-gebruikers de applicatie veilig kunnen blijven gebruiken.

Eerder TikTok-onderzoek door CPR

CPR heeft nu twee keer beveiligingslekken in TikTok gevonden. Op 8 januari 2020 publiceerde CPR ook al een paper over een reeks kwetsbaarheden in de populaire app. Die kwetsbaarheden stelden een bedreiger in staat tot het verkrijgen van persoonlijke informatie die was opgeslagen in de accounts van gebruikers, het manipuleren van accountgegevens of het ondernemen van acties namens een gebruiker zonder diens toestemming.

Oded Vanunu, hoofd van Products Vulnerabilities Research bij Check Point: "Onze primaire motivatie was dit keer om de privacy van TikTok te onderzoeken. We waren benieuwd of het TikTok-platform kon worden gebruikt om privégegevens van gebruikers te bemachtigen. Het antwoord bleek ja te zijn, want we waren in staat om meerdere beschermingsmechanismen van TikTok te omzeilen die leiden tot privacyschending en het beschikbaar stellen van privénummers. Een aanvaller die dit soort gevoelige informatie in handen krijgt, zou een scala aan kwaadaardige activiteiten kunnen uitvoeren, zoals spear phishing. Onze boodschap aan TikTok-gebruikers is dan ook om het absolute minimum aan persoonlijke informatie te delen en de app altijd te updaten naar de laatste versie.

TikTok's verklaring:

"De beveiliging en privacy van de TikTok-gemeenschap zijn onze hoogste prioriteit. We waarderen dan ook de hulp van vertrouwde partners zoals Check Point bij het identificeren van potentiële problemen, zodat we ze kunnen oplossen voordat ze gebruikers treffen. We blijven onze verdedigingsmechanismen versterken door voortdurend onze interne systemen te upgraden, zoals het investeren in geautomatiseerde beveiliging en door samen te werken met derde partijen." - TikTok woordvoerder Mation Defenses, en werkend met derde partijen." – aldus TikTok 

afbeelding van Redactie WINMAG Pro

Redactie WINMAG Pro | Redacteur

Bekijk alle artikelen van Redactie