Hack de Zero-Day do TikTok Usado para Comprometer Contas de Celebridades

TikTok, o popular aplicativo de compartilhamento de vídeos curtos, anunciou na terça-feira que tomou medidas preventivas para parar um ataque de zero-day que permitiu que hackers visassem contas de TikTok de alto perfil, incluindo aquelas de celebridades e marcas, como as pertencentes à CNN, Paris Hilton e Sony.

Embora a empresa, que pertence à ByteDance, tenha confirmado que está lidando com um ciberataque, não divulgou a natureza do ataque ou os métodos de mitigação que utilizou.

No entanto, mencionou que tomou medidas preventivas para parar o ataque e evitar que aconteça novamente no futuro.

Ela também mencionou que um número “muito pequeno” de contas de alto perfil foi comprometido no ciberataque, e está trabalhando com os proprietários afetados para restaurar o acesso às suas contas.

“Nossa equipe de segurança está ciente de uma possível exploração que visa um número de contas de alto perfil”, disse um porta-voz da empresa. “Tomamos medidas para parar este ataque e prevenir que aconteça no futuro. Estamos trabalhando diretamente com os proprietários das contas afetadas para restaurar o acesso, se necessário”, disse um porta-voz do TikTok em um comunicado.

Embora o número atual de usuários afetados seja desconhecido, Semafor e Forbes foram os primeiros a confirmar que a conta do TikTok da CNN foi comprometida no ciberataque, o que forçou a rede de notícias a retirar sua conta do TikTok por vários dias.

“Temos colaborado de perto com a CNN para restaurar o acesso à conta e implementar medidas de segurança aprimoradas para proteger sua conta daqui para frente. Estamos dedicados a manter a integridade da plataforma e continuaremos monitorando qualquer atividade inautêntica adicional”, disse um porta-voz do TikTok sobre a CNN.

A empresa também revelou que a conta do TikTok da estrela de televisão de realidade Paris Hilton, que tem mais de 10 milhões de seguidores no aplicativo de mídia social, foi visada, mas não comprometida.

De acordo com o TikTok, o ciberataque ocorreu através do recurso de mensagens diretas do aplicativo.

Aparentemente, os atacantes exploraram uma vulnerabilidade de zero-day nas mensagens diretas (DMs) enganando os usuários para abrir a mensagem maliciosa, que não precisa de download de um payload ou clicar em links incorporados.

A empresa se recusou a divulgar a lista completa de contas que foram visadas ou comprometidas, pois ainda está investigando a “exploração potencial.”