Hack de día cero de TikTok utilizado para comprometer cuentas de TikTok de celebridades

TikTok, la popular aplicación de intercambio de videos cortos, dijo el martes que había tomado medidas preventivas para detener un ataque de día cero que permitió a los hackers dirigirse a cuentas de TikTok de alto perfil, incluidas las de celebridades y marcas, como las pertenecientes a CNN, Paris Hilton y Sony.

Si bien el fabricante de la aplicación de video, propiedad de ByteDance, confirmó que está lidiando con un ciberataque, no divulgó la naturaleza del ataque ni los métodos de mitigación que había utilizado.

Sin embargo, mencionó que han tomado medidas preventivas para detener el ataque y evitar que vuelva a ocurrir en el futuro.

También mencionó que un número “muy pequeño” de cuentas de alto perfil fueron comprometidas en el ciberataque, y está trabajando con los propietarios afectados para restaurar el acceso a sus cuentas.

“Nuestro equipo de seguridad está al tanto de una posible explotación que apunta a un número de cuentas de alto perfil”, dijo un portavoz de la empresa. “Hemos tomado medidas para detener este ataque y prevenir que ocurra en el futuro. Estamos trabajando directamente con los propietarios de cuentas afectadas para restaurar el acceso, si es necesario”, dijo un portavoz de TikTok en un comunicado.

Si bien el número actual de usuarios afectados es desconocido, Semafor y Forbes fueron los primeros en confirmar que la cuenta de TikTok de CNN fue comprometida en el ciberataque, lo que obligó a la red de noticias a desactivar su cuenta de TikTok durante varios días.

“Hemos estado colaborando estrechamente con CNN para restaurar el acceso a la cuenta e implementar medidas de seguridad mejoradas para salvaguardar su cuenta en el futuro. Estamos dedicados a mantener la integridad de la plataforma y continuaremos monitoreando cualquier actividad inauténtica adicional”, dijo un portavoz de TikTok sobre CNN.

La empresa también reveló que la cuenta de TikTok de la estrella de la televisión de realidad Paris Hilton, quien tiene más de 10 millones de seguidores en la aplicación de redes sociales, fue objetivo pero no comprometida.

Según TikTok, el ciberataque se llevó a cabo a través de la función de mensajería directa de la aplicación.

Aparentemente, los atacantes explotaron una vulnerabilidad de día cero en los mensajes directos (DMs) al engañarlos para que abrieran el mensaje malicioso, que no necesita descargar una carga útil ni hacer clic en enlaces incrustados.

La empresa se negó a divulgar la lista completa de cuentas que habían sido objetivo o comprometidas, ya que aún está investigando la “explotación potencial.”