חברת צ'קפוינט פרסמה היום (שלישי) פרטים אודות חולשת אבטחה שאותרה באפליקציית טיקטוק הפופולרית. חוקרי חולשות, אלון בוקסינר וערן ועקנין, איתרו חולשה אשר אפשרה לאתר פרטי חשבון משתמש של בעלי חשבונות בטיק טוק דרך הפיצ'ר Find Friends. החולשה דווחה לחברה, ותוקנה בתיאום איתה.

החולשה האמורה איפשרה לתוקפים להשיג את מספרי הטלפון האישיים להאישיים המחוברים לחשבונות, ולהצליבם עם פרטי חשבון נוספים - בהם כינוי, תמונות פרופיל ותעודת זהות משתמש- User ID. כמו כן, כך ניתן להשיג גישה לחלק מהגדרות המשתמש, בהן איתור עוקבים, פרופיל מוסתר.

בחברה הדגישו כי "ניצול של חולשה מסוג זו יכולה היתה לאפשר לתוקפים, המשתמשים באמצעים אוטומטיים מתאימים, לייצר מאגר מידע רחב היקף של טלפונים ופרטים אישיים נוספים המבוססים כולם על הפרטים שהמשתמשים עדכנו בחשבונות שלהם".

כאמור, החולשה ניצלה מנגנון קיים שנקרא Find Friends שמאפשר לטיקטוק לאתר אוטומטית משתמשים שנמצאים באנשי הקשר של המשתמש, דרך מספר הטלפון שלהם. המנגנון למעשה "שולח שאילתא" לשרתי הפלטפורמה והם בתגובה מספקים את המענה לשאילתא בדמות חיבור לחשבון קיים.

בצ'קפוינט הדגישו כי לפיצ'ר האמור היו הגנות, אולם החוקרים הצליחו לעקוף אותן דרך יצירת מנגנון עצמאי, שאינו מחובר לאנשי הקשר של המשתמש, אשר שלח שאילתות בהתאם לרצון התוקף. באמצעות ניצול החולשה הזו, התוקף יכול היה לייצר שאילתותבמכפלות של 500 מספרים על כל בקשה, ובתמורה לקבל מהפלטפורמה הצלבות של מספרי טלפון ופרטי פרופיל שלא היו מוגנים דיים.

טיקטוק  (צילום: רויטרס)
טיקטוק (צילום: רויטרס)

בין היתר, בדרך זו החוקרים הצליחו להשיג את פרטי המשתמש האישיים של בעלי חשבונות פופולריים בישראל - בהם זמר, אדריכל ידוע, ומשפיען רשת. החוקרים עבדו בצמידות עם טיק טוק בכדי לתקן את החולשה.

מטיקטוק נמסר בתגובה: "הפרטיות וההגנה על פרטיהם של חברי קהילת טיק טוק היא בעדיפות עליונה שלנו, ואנו מעריכים שיתופי פעולה עם שותפים מוסמכים כמו צ'ק פוינט שמסייעים לנו לזהות סוגיות פוטנציאליות ולתקן אותן לפני שהן משפיעות על המשתמשים. אנו נמשיך לחזק את ההגנות שלנו על ידי שדרוג היכולות הפנימיות והשקעה בהגנות אוטמטיות, וכן על ידי שיתופי פעולה עם גורמים חיצוניים".

עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר סיפר: "רצינו לבחון באם הפלטפורמה הפופולרית מאפשרת נגישות לפרטים אישיים וראינו שזה אפשרי דרך מעקף של מנגנון הגנה קיים באחד מהפיצ'רים הפופולריים. שימוש רחב היקף בחולשות מעין אלו מאפשר להאקרים לייצר מאגרי מידע שמצליבים שמות למספרי טלפון, וכן פרטים נוספים, מה שמשמעותי במיוחד בחשבונות בעלי עוקבים רבים ברשתות החברתיות. מאגר כזה משמש האקרים למתקפות פישינג או לחילופין להתקפות ישירות על מכשירים של משתמשים עם פרופיל גבוה. אנו מעריכים את העובדה שטיק טוק פעלה ברצינות רבה לתקן את החולשה. ההמלצה שלנו למשתמשים ברשתות החברתיות היא לשתף בהן כמה שפחות מידע אישי ולוודא שהאפליקציות מעודכנות בגרסה האחרונה שלהן".

כזכור, בתחילת השנה שעברה חוקרי צ'קפוינט מצאו פרצה נוספת באפליקציה הפופולרית. החולשות שאותרו אז, איפשרו לתוקפים לבצע פעולות בחשבונות של משתמשים כגון הוספה ומחיקה של סרטונים, שינוי הגדרת הפרטיות של הסרטונים - מפרטי לפומבי - ואף גניבה של פרטים אישיים אשר הוזנו ע"י המשתמשים בעת ההרשמה לאפליקציה.