Vulnerabilidades críticas en TikTok exponen datos de millones de usuarios

¿Tú también te has unido a la moda de TikTok para crear vídeos caseros de forma sencilla? Si es así deberías seguir leyendo pues tus datos personales podrían estar en peligro debido al fallo de seguridad en la aplicación.

Así, según la información compartida por los expertos de Check Point, la información personal de más de 1 billón de usuarios de más de 150 países podría haber sido expuesta. El fallo de seguridad encontrado permitiría a los cibercriminales manipular datos (añadir/eliminar vídeos), alterar la privacidad del usuario (cambiar la configuración de la privacidad de los vídeos de privada a pública) y acceder y extraer datos personales (nombre completo, dirección de correo electrónico, cumpleaños, etc.) guardada en estas cuentas.

TikTok es una de las aplicaciones que más rápido ha crecido en los últimos tiempos (de hecho, es la tercera aplicación más descargada en todo el mundo, sólo por detrás de WhatsApp y Messenger), y encuentra en los jóvenes su principal público. Este servicio permite a sus usuarios crear y guardar videos privados suyos y de sus seres queridos (que pueden tener contenido muy sensible).

¿Cómo funciona esta vulnerabilidad? 

Para descargar TikTok, un nuevo usuario recibe un enlace de descarga vía SMS y, tras esto, debe introducir su número de teléfono. Durante la investigación, los expertos de Check Point descubrieron que un atacante podía suplantar la identidad de la aplicación y enviar un SMS falso con un enlace malicioso. Cuando el usuario hace clic, permite al cibercriminal hacerse con la cuenta TikTok y manipular su contenido borrando archivos, subiendo vídeos no autorizados y haciendo público contenido privado u “oculto” del usuario. 

Por otra parte, los investigadores de la compañía descubrieron que un cibercriminal puede forzar a un usuario de TikTok a entrar en un servidor web que se encuentra bajo su control, haciendo posible que el atacante envíe solicitudes no deseadas en nombre del usuario. Asimismo, la investigación puso de manifiesto que el subdominio de Tiktok era vulnerable a los ataques XSS, un tipo de ciberamenaza en el que se inyectan scripts maliciosos en sitios web que de otra manera serían de confianza. 

Los expertos de Check Point fueron capaces de aprovechar esta vulnerabilidad para recuperar la información personal guardada en las cuentas de los usuarios, incluidas las direcciones de correo electrónico privadas y las fechas de nacimiento. Tras esto, la compañía informó a los desarrolladores de la aplicación de las vulnerabilidades encontradas durante la investigación, que ya han sido subsanadas, por lo que los usuarios pueden hacer uso normal del servicio.

La entrada Vulnerabilidades críticas en TikTok exponen datos de millones de usuarios aparece primero en Globb Security.