La empresa ya ha tomado medidas para detener un ciberataque dirigido a varias cuentas de marcas y celebridades, incluida la red de noticias CNN.
Varias cuentas de TikTok de alto perfil fueron secuestradas en los últimos días producto de una vulnerabilidad de día cero sin parchear.
Entre las víctimas de la explotación de esta vulnerabilidad, se encuentran las marcas Sony y CNN, además de la cuenta de la celebridad Paris Hilton, las cuales debieron eliminarse para evitar abusos.
El exploit utilizado por los atacantes para acceder a las cuentas, sólo necesitaba que los blancos de ataque abrieron un mensaje malicioso enviado de forma directa a ellos, sin necesidad de descargar una carga útil ni hacer clic en enlaces adjuntos.
El portavoz de TikTok, Alex Haurek, declaró a fines de la semana pasada que “nuestro equipo de seguridad es consciente de un posible exploit dirigido a varias cuentas de marcas y celebridades».
«Hemos tomado medidas para detener este ataque y evitar que ocurra en el futuro. Estamos trabajando directamente con los propietarios de cuentas afectados para restaurar el acceso, si es necesario».
De acuerdo lo ha señalado por el portavoz de TikTok, los atacantes solo han comprometido una cantidad menor de cuentas. Pese a ello, la compañía aún no ha revelado el número exacto de usuarios afectados y no ha compartido ningún detalle sobre la vulnerabilidad explotada hasta que se solucione la falla subyacente.
Este no es el primer ataque que afecta a la compañía en los últimos años. A mediados del 2023 la empresa reconoció que cerca de 700 mil cuentas en Turquía habían sido comprometidas debido al uso de medios inseguros para la autenticación a través de canales de SMS, justamente en el contexto de las elecciones de ese país.
En 2022, en otro incidente, investigadores de Microsoft descubrieron una vulnerabilidad en la aplicación que permitía a los atacantes apoderarse de cuentas con un solo Clic.
En la actualidad la empresa enfrenta una situación compleja en los Estados Unidos, esto debido a sospechas sobre el uso de la aplicación por parte del gobierno de China para espiar a ciudadanos norteamericanos, lo que impulsó una legislación que obliga a la empresa que gestiona la aplicación, ByteDance, para que se deshaga de ésta.