האקרים ניצלו את חולשת TikTok כדי להשתלט על חשבונות

פלטפורמת שיתוף הווידאו טיקטוק - TikTok אישרה כי האקרים ניצלו חולשת zero-day כדי לפרוץ ולהשתלט על חשבונות של סלבריטאים ובעלי פרופיל גבוה בפלטפורמה, ביניהם רשת CNN ופאריס הילטון. עדיין לא ברור כמה משתמשים הושפעו.

לדברי ניר יהושע, סמנכ"ל מחקר בחברת הסייבר סייפוקס (CyFox) , המתמחה באספקת פתרונות אבטחת מידע מבוססי בינה מלאכותית, "פרצת האבטחה בחשבונות סלבריטאים מדגישה פעם נוספת את הצורך הקריטי במודעות לאבטחת סייבר ובנקיטת צעדים פרואקטיביים להגנה על חשבונות אישיים ועסקיים.

ניר יהושעצילום: סייפוקס

האירוע מצביע על כך שתוקפים עדיין מזהים את הפלטפורמות החברתיות כנקודת תורפה פוטנציאלית, תוך ניצול פרצות אבטחה כדי לפגוע במוניטין ובפרטיות של משתמשים בעלי פרופיל גבוה".

"כמנהל אבטחת מידע, אני ממליץ לכל המשתמשים, ובמיוחד לאלה בעלי חשבונות עם פרופיל ציבורי גבוה, להשתמש באימות דו-שלבי (2fa), להימנע משימוש בסיסמאות קלות ולעקוב אחר הנחיות אבטחה שוטפות הניתנות על ידי הפלטפורמות החברתיות עצמן. בנוסף, חשוב לוודא שכל חשבונות הדואר האלקטרוני המשויכים לחשבונות הללו מוגנים גם הם בצורה חזקה ומאובטחת". כך ניר יהושע.

בחברת אבטחת המידע ESET מסבירים כי "מדי פעם צצה מתקפה חדשה ומרשימה שבה לא נדרשת בכלל, או אולי מעט אינטראקציה מצד הקורבן כדי שהנוזקה תוטמע בחשבון או המכשיר.

ללא אזהרה ובאופן פשוט על ידי פתיחה של הודעה זדונית מתוך הודעה ה-DM בטיקטוק, הנוזקה יכולה להשתלט על החשבון ולהקשות על ההתמודדות עם הנושא אפילו עבור המשתמשים המיומנים ביותר.

בדרך כלל, מתקפות zero-days ברמה מתקדמת כזו בהן עושים שימוש בתוכנות זדוניות על מנת נצל חולשות לא ידועות יהיו קשורות לשחקני איום ברמה מדינית (ולא על ידי גורמים פרטיים). עם זאת אפילו התקפות כאלו הן נדירות.

חשוב כי משתמשים יהיו ערניים להודעות לא רצויות בפלטפורמה ויפתחו את ההודעות שלהם בזהירות".

מטיקטוק נמסר בתגובה: "צוות האבטחה שלנו מודע לניסיון התקפה פוטנציאלי שכוון למספר חשבונות בעלי פרופיל גבוה. נקטנו באמצעים כדי לעצור את המתקפה הזו ולמנוע ממנה להתרחש בעתיד. אנו עובדים ישירות עם בעלי החשבונות שהושפעו ממנה כדי לשחזר את גישתם לחשבונות, במידת הצורך".

'בחדרי' גם ברשתות החברתיות - הצטרפו!