Detectan un nuevo fallo en TikTok que deja al descubierto datos de usuarios

Check Point, una de las compañías expertas en seguridad del mundo, ha descubierto una vulnerabilidad en la red social TikTok, en la función 'encontrar amigos'. La aplicación es una de las más populares en la actualidad y cuenta con más de 1.000 millones de usuarios en más de 150 países.

El fallo permite el acceso a datos personales del usuario como el número de teléfono, el nombre, la foto de perfil, el avatar o incluso configuración del perfil, lo que facilitaría a los ciberdelincuentes su objetivo de hacerse con una base de datos que posteriormente podría utilizarse para actividades maliciosas.

Los ciberdelincuentes conseguirían los IDs de dispositivos

Según los expertos de Check Point, el cibercriminal podría crear una lista de dispositivos (IDs de dispositivos) o de tokens de sesión (cada token de sesión es válido durante 60 días) que se utilizarían para consultar los servidores de TikTok.

Los atacantes también podrían emplear maliciosamente la información para evitar el mecanismo de firma de mensajes HTTP de TikTok utilizando su propio servicio de firma ejecutado en segundo plano, o unir todos estos elementos para modificar las peticiones HTTP, reasignarlas y utilizar varios tokens de sesión e IDs de dispositivos para saltarse los mecanismos de protección de TikTok.

Check Point ha difundido en un comunicado que ya ha compartido su descubrimiento sobre las vulnerabilidades detectadas con ByteDance, empresa responsable de TikTok.

TikTok reconoció fallos de seguridad

No es la primera vez que TikTok está en entredicho por fallos de seguridad. La propia red social confirmó el año pasado que sus actualizaciones había parcheado múltiples vulnerabilidades que exponían y permitían el acceso a las cuentas, la información de los usuarios y los vídeos.

Aunque según la compañía no tenían constancia de que estas brechas hubieran sido descubiertas y explotadas, un hacker habría podido tomar el control de las cuentas, manipular el contenido, subir vídeos nuevos y borrar otros ya existentes, hacer público el contenido oculto y revelar datos personales como el email.