In der vergangenen Woche haben Angreifer hochkarätige TikTok-Konten von Unternehmen und Prominenten durch Ausnutzung einer Zero-Day-Schwachstelle in der Direktnachrichtenfunktion des sozialen Netzwerks übernommen. Zero-Day-Sicherheitslücken sind Sicherheitsfehler, für die es noch keinen offiziellen Patch oder öffentlich bekannte Informationen über die zugrunde liegende Schwäche gibt.
Nach der Kompromittierung mussten Benutzerkonten, darunter die von Sony, CNN und Paris Hilton, vorübergehend stillgelegt werden, um Missbrauch zu verhindern. CNNs Konto war das erste, das letzte Woche übernommen wurde, wie Semaphor am Sonntag zuerst berichtete.
Wie heute von Forbes berichtet, benötigte der von den Angreifern verwendete Exploit lediglich, dass die Zielkonten die bösartige Nachricht öffnen; es war nicht notwendig, eine Datei herunterzuladen oder auf eingebettete Links zu klicken.
„Unser Sicherheitsteam ist sich eines potenziellen Exploits bewusst, der eine Reihe von Marken- und Prominentenkonten betrifft“, erklärte TikTok-Sprecher Alex Haurek gegenüber Forbes. „Wir haben Maßnahmen ergriffen, um diesen Angriff zu stoppen und zukünftige Vorfälle zu verhindern. Wir arbeiten direkt mit den betroffenen Kontoinhabern zusammen, um den Zugang bei Bedarf wiederherzustellen.“
Laut Haurek wurde nur eine sehr kleine Anzahl von TikTok-Konten kompromittiert. Das Unternehmen hat bisher weder die genaue Anzahl der betroffenen Nutzer bekannt gegeben, noch Details über die ausgenutzte Schwachstelle geteilt, bis der zugrunde liegende Fehler behoben ist.
Nicht der erste Fehler, der Kontoübernahmen ermöglicht
Dies ist nicht die erste Sicherheitslücke, die TikTok-Nutzer in den letzten Jahren betrifft. Zuletzt hatte das Unternehmen einen Fehler in der Android-App behoben, der von Microsoft im August 2022 entdeckt wurde und es Hackern ermöglichte, „schnell und unbemerkt“ Konten mit nur einem Tipp zu übernehmen.
Zuvor hatte es Sicherheitslücken behoben, die es Angreifern ermöglichten, den Datenschutz der Plattform zu umgehen und private Benutzerinformationen, einschließlich Telefonnummern und Benutzer-IDs, zu stehlen.
Das Unternehmen behebte auch Schwachstellen, die es Bedrohungsakteuren ermöglichten, die Konten von Benutzern, die sich über Drittanbieter-Apps angemeldet hatten, zu übernehmen und Konten zu manipulieren, um die Videos der Besitzer zu verändern und ihre persönlichen Informationen zu stehlen.
TikTok überschritt im September 2021 die Marke von 1 Milliarde Nutzern und verzeichnet derzeit über 1 Milliarde Downloads im Google Play Store und 17 Millionen Bewertungen im iOS App Store.
Auf eine Anfrage von BleepingComputer nach weiteren Informationen zur Anzahl der kompromittierten Konten und der bei den Angriffen ausgenutzten Sicherheitslücke war ein Sprecher von TikTok heute nicht sofort für eine Stellungnahme verfügbar.