EnglishPortugueseSpanish

Investigadores de la empresa de seguridad CheckPoint Research descubierto una falla en TikTok que podría exponer los datos personales de los usuarios, en este caso los números de teléfono. La falla solo afectó a aquellos que asociaron un número de teléfono con su cuenta o iniciaron sesión con un número de teléfono, pero aún representa un riesgo de privacidad.

El error existía en la función "Buscar amigos" de TikTok que permite a los usuarios sincronizar sus contactos con el servicio para identificar posibles personas a las que seguir. Los contactos se envían a TikTok a través de una solicitud HTTP en forma de lista, que contiene nombres de contactos con hash y los números de teléfono correspondientes.

publicidad

Luego, la aplicación envía una segunda solicitud HTTP que recupera los perfiles de TikTok conectados a los números de teléfono enviados en la solicitud anterior. Esta respuesta incluye nombres de perfil, números de teléfono, fotos y otra información relacionada con el perfil.

La falla permitió automatizar un método para obtener los números de teléfono de los usuarios de TikTok. Imagen: Daniel Constante / TikTok

Las solicitudes de carga y sincronización de contactos están limitadas a 500 contactos por día, por usuario y por dispositivo, pero los investigadores de Check Point han encontrado una forma de evitar esta limitación obteniendo el identificador del dispositivo y las cookies de sesión establecidas por el servidor.

Luego modificaron las solicitudes HTTP y agregaron una firma actualizada, creando una forma de automatizar el procedimiento de carga y sincronización de contactos a gran escala y crear una base de datos de cuentas y los números de teléfono conectados a ellos.

"Nuestra principal motivación esta vez fue explorar la privacidad de TikTok", dijo Oded Vanunu, jefe de investigación de vulnerabilidad de productos en Check Point. “Teníamos curiosidad por saber si la plataforma TikTok podría usarse para obtener datos privados de los usuarios. Y la respuesta fue positiva, ya que pudimos eludir los múltiples mecanismos de protección de TikTok que conducen a una violación de la privacidad ”.

publicidad

“Un malhechor con información tan privada podría realizar una serie de actividades maliciosas, como suplantación de identidad, robo de identidad y otras acciones delictivas ”, dijo. "Nuestro mensaje para los usuarios de TikTok es compartir tan poco como sea necesario cuando se trata de sus datos personales".

Error de TikTok solucionado

A ByteDance, desarrollador de TikTok, solucionó la vulnerabilidad, bloqueando los intentos futuros de eludir las protecciones de privacidad de la plataforma y robar los datos privados de los usuarios.

"La seguridad y privacidad de la comunidad de TikTok es nuestra máxima prioridad, y apreciamos el trabajo de socios confiables como Check Point en la identificación de posibles problemas para que podamos resolverlos antes de que afecten a los usuarios", dijo un portavoz de TikTok en un comunicado. .

“Seguimos fortaleciendo nuestras defensas, tanto actualizando constantemente nuestras capacidades internas, como invirtiendo en automatización, además de trabajar con terceros”.

fuente: Hacker News