Geçen hafta, saldırganlar birden fazla şirkete ve ünlülere ait yüksek profilli Tiktok hesaplarını kaçırdı ve sosyal medyanın doğrudan mesajlar özelliğinde sıfır gün kırılganlıklarından yararlandı.
Sıfır gün güvenlik açıkları, resmi bir yama veya altta yatan zayıflığı detaylandıran kamu bilgileri olmayan güvenlik kusurlarıdır.
Tazmin edildikten sonra, Sony, CNN ve diğerlerine ait kullanıcı hesaplarının kötüye kullanımı önlemek için kaldırılması gerekiyordu. Semaphor'un Pazar günü ilk bildirdiği gibi, CNN'nin hesabı geçen hafta ilk kaçırılan kişi oldu.
Forbes'un bugün bildirdiği gibi, saldırganlar tarafından DMS aracılığıyla hesapları kesmek için kullanılan istismar, yalnızca kötü amaçlı mesajı açmak için hedeflere ihtiyaç duyar ve yük yükü indirmeyi veya gömülü bağlantıları tıklamayı gerektirmez.
Tiktok sözcüsü Jason Grosse, BleepingComputer'a verdiği demeçte, "Güvenlik ekibimiz, bir dizi yüksek profilli hesabı hedefleyen potansiyel bir istismarın farkında." Dedi.
Diyerek şöyle devam etti: "Bu saldırıyı durdurmak ve gelecekte olmasını önlemek için önlemler aldık. Gerekirse erişimi geri yüklemek için doğrudan etkilenen hesap sahipleriyle çalışıyoruz."
Grosse'a göre, saldırganlar "ilk analize" göre sadece "az sayıda" Tiktok hesabı tehlikeye attılar. Şirket, etkilenen kullanıcıların tam sayısını henüz açıklamamıştır ve altta yatan kusur düzeltilene kadar sömürülen güvenlik açığı ile ilgili herhangi bir ayrıntı paylaşmamıştır.
Bu, son yıllarda Tiktok kullanıcılarını etkilemek için ilk güvenlik açığı değil. Son zamanlarda, şirket Ağustos 2022'de Microsoft tarafından keşfedilen bir Android uygulaması kusurunu, bilgisayar korsanlarının "hızlı ve sessizce" bir TAP ile hesapları devralmasına izin veren bir Android uygulaması.
Daha önce, saldırganların platformun gizlilik korumalarını atlamasına ve telefon numaraları ve kullanıcı kimlikleri de dahil olmak üzere özel kullanıcı bilgilerini çalmasına izin veren güvenlik hataları düzeltildi.
Şirket ayrıca, tehdit aktörlerinin üçüncü taraf uygulamalar aracılığıyla kaydolan ve sahiplerin videolarını manipüle etmek ve kişisel bilgilerini çalmak için hesaplardan ödün veren kullanıcıların hesaplarını ele geçirmelerini sağlayan güvenlik açıklarını da düzeltti.
Tiktok, Eylül 2021'de 1 milyar kullanıcıyı aştı ve şu anda Google'ın Play Store'da 1 milyardan fazla indirme ve iOS App Store'da 17 milyon derecelendirme var.
GÜNCELLEME 05 Haziran, 14:50 EDT: Paris Hilton'un hesabını uzatılmış hesaplar listesinden kaldırmak için gözden geçirilmiş makale.
QNAP QTS Sıfır Günündeki Paylaşım Özelliği Halka Giriyor RCE istismar
D-Link Exo AX4800 yönlendiriciler
Kritik İlerleme için İstismar Telerik Auth Bypass Serbest Bırakılan, Şimdi Yama
30 Nisan'dan bu yana Saldırılarda Sakat VPN Zero-Gün kontrol noktası
Saldırılarda sömürülen VPN Zero-Day için acil durum düzeltmesini kontrol ettirir.
Kaynak: Bleeping Computer