Falha no TikTok poderia expor número de telefone dos usuários

Pesquisadores da empresa de segurança CheckPoint Research descobriram uma falha no TikTok que poderia expor dados pessoais, no caso os números de telefone, dos usuários. A falha só afetava aqueles que associaram um número de telefone com sua conta ou logaram-se usando um número de telefone, mas ainda assim representa um risco à privacidade.

O bug existia no recurso “Find friends” do TikTok que permite aos usuários sincronizar seus contatos com o serviço para identificar pessoas em potencial a serem seguidas. Os contatos são enviados ao TikTok através de uma solicitação HTTP na forma de uma lista, que contém nomes de contatos em hash e os números de telefone correspondentes.

Em seguida o aplicativo envia uma segunda solicitação HTTP que recupera os perfis TikTok conectados aos números de telefone enviados na solicitação anterior. Esta resposta inclui nomes de perfis, números de telefone, fotos e outras informações relacionadas ao perfil.

As solicitações de upload e sincronização de contatos são limitadas a 500 contatos por dia, por usuário e por dispositivo, mas os pesquisadores da Check Point encontraram uma maneira de contornar esta limitação obtendo o identificador do dispositivo e cookies de sessão definidos pelo servidor.

Depois, modificaram as solicitações HTTP e adicionaram uma assinatura atualizada, criando uma forma de automatizar o procedimento de upload e sincronização de contatos em larga escala e criar um banco de dados de contas e os números de telefone conectados a elas.

“Nossa principal motivação, desta vez, foi explorar a privacidade do TikTok”, disse Oded Vanunu, chefe da pesquisa de vulnerabilidades de produtos da Check Point. “Ficamos curiosos se a plataforma TikTok poderia ser usada para obter dados privados dos usuários. E a resposta foi positiva, pois fomos capazes de contornar múltiplos mecanismos de proteção da TikTok que levam à violação da privacidade”.

“Um malfeitor com tais informações privadas poderia realizar uma série de atividades maliciosas, tais como phishing, roubo de identidade e outras ações criminosas”, disse. “Nossa mensagem aos usuários do TikTok é a de que compartilhem o mínimo necessário quando se trata de seus dados pessoais”.

Falha no TikTok foi corrigida

A ByteDance, desenvolvedora do TikTok, corrigiu a vulnerabilidade, bloqueando futuras tentativas de driblar as proteções de privacidade da plataforma e roubar os dados privados dos usuários.

“A segurança e a privacidade da comunidade TikTok são nossa maior prioridade, e apreciamos o trabalho de parceiros de confiança como a Check Point na identificação de possíveis problemas para que possamos resolvê-los antes que afetem os usuários”, disse um porta-voz do TikTok em uma declaração.

“Continuamos a fortalecer nossas defesas, tanto atualizando constantemente nossas capacidades internas, como investindo em automação, além de trabalhar com terceiros”.

Fonte: Olhar Digital