Un error en TikTok expone datos personales del perfil de los usuarios

Seguridad en redes

Los ciberdelincuentes podían acceder a los datos personales de los usuarios debido a un problema radicado en la función Encontrar amigos de la aplicación

Tik Tok
Tik Tok / Hayoung Jeon, Efe
Tomás Serrano García

28 de enero 2021 - 10:58

La app china es una de las redes sociales más populares de la actualidad, sobre todo entre la población joven. Tik Tok cuenta con más de mil millones de usuarios en los 150 países donde está disponible. La vulnerabilidad detectada por los investigadores de Check Point Research, web especializada en ciberseguridad, se encuentra en la función 'Encontrar amigos'.

Esta vulnerabilidad permitía el acceso a datos del usuario que no deberían ser visibles para el resto de usuarios. Quedaban expuestos el número de teléfono, nombre, foto de perfil o incluso la configuaración del perfil. Los ciberdelincuentes podían acceder a la información del perfil del usuario, para, a posteriori, crear una base de datos con la información extraída.

Según los expertos de Check Point, el cibercriminal podría crear una lista de dispositivos (IDs de dispositivos) que se utilizarían para consultar los servidores de TikTok, o crear una lista de tokens de sesión (cada token de sesión es válido durante 60 días) que se utilizarán para consultar los servidores de TikTok.

También podría utilizar la información para evitar el mecanismo de firma de mensajes HTTP de TikTok utilizando su propio servicio de firma ejecutado en segundo plano, o unir todos estos elementos para modificar las peticiones HTTP, reasignarlas y utilizar varios tokens de sesión e IDs de dispositivos para saltarse los mecanismos de protección de TikTok.

Check Point informa en un comunicado de que compartió su descubrimiento con ByteDance, empresa responsable de TikTok.

stats