Piraterie Zero-Day de TikTok Utilisée Pour Compromettre des Comptes TikTok de Célébrités

TikTok, l’application populaire de partage de vidéos courtes, a déclaré mardi avoir pris des mesures préventives pour stopper une attaque zero-day qui a permis aux hackers de cibler des comptes TikTok de haut profil, y compris ceux de célébrités et de marques, y compris ceux appartenant à CNN, Paris Hilton et Sony.

Bien que le fabricant de l’application vidéo appartenant à ByteDance ait confirmé qu’il faisait face à une cyberattaque, il n’a pas divulgué la nature de l’attaque ni les méthodes d’atténuation qu’il avait utilisées.

Cependant, il a mentionné qu’ils avaient pris des mesures préventives pour stopper l’attaque et empêcher qu’elle ne se reproduise à l’avenir.

Il a également mentionné qu’un nombre « très limité » de comptes de haut profil avaient été compromis lors de la cyberattaque, et qu’il travaillait avec les propriétaires concernés pour restaurer l’accès à leurs comptes.

« Notre équipe de sécurité est consciente d’une exploitation potentielle ciblant un certain nombre de comptes de haut profil », a déclaré un porte-parole de l’entreprise. « Nous avons pris des mesures pour stopper cette attaque et empêcher qu’elle ne se reproduise à l’avenir. Nous travaillons directement avec les propriétaires de comptes concernés pour restaurer l’accès, si nécessaire », a déclaré un porte-parole de TikTok dans un communiqué.

Bien que le nombre actuel d’utilisateurs affectés soit inconnu, Semafor et Forbes ont été les premiers à confirmer que le compte TikTok de CNN avait été compromis lors de la cyberattaque, ce qui a forcé le réseau d’information à retirer son compte TikTok pendant plusieurs jours.

« Nous avons collaboré étroitement avec CNN pour restaurer l’accès au compte et mettre en œuvre des mesures de sécurité renforcées pour protéger leur compte à l’avenir. Nous sommes déterminés à maintenir l’intégrité de la plateforme et continuerons à surveiller toute activité inauthentique supplémentaire », a déclaré un porte-parole de TikTok à propos de CNN.

L’entreprise a également révélé que le compte TikTok de la star de la télé-réalité Paris Hilton, qui compte plus de 10 millions de followers sur l’application de médias sociaux, avait été ciblé mais non compromis.

Selon TikTok, la cyberattaque s’est produite par le biais de la fonction de messagerie directe de l’application.

Apparemment, les attaquants ont exploité une vulnérabilité zero-day dans les messages directs (DM) en les trompant pour qu’ils ouvrent le message malveillant, qui ne nécessite pas de télécharger un payload ou de cliquer sur des liens intégrés.

L’entreprise a refusé de divulguer la liste complète des comptes qui avaient été ciblés ou compromis car elle enquête toujours sur l’« exploitation potentielle ».