TikTok admet un hackeig a comptes de famosos i marques amb un malware especialment perillós
Comptes de famosos i marques estan sent atacats a TikTok amb un malware especialment perillós perquè no necessita cap acció per part de la víctima més enllà d'obrir el missatge directe que el conté: ni descàrregues, ni enllaços ni enganys.
La plataforma social ha confirmat el forat de seguretat i diu que "estan treballant per aturar l'atac" i "evitar que torni a passar en el futur", tot i que no especifiquen si aquests missatges directes s'estarien distribuint encara ara.
Les declaracions del portaveu de TikTok, Alex Haurek, a Forbes --que ha destapat la notícia-- confirmen que la vulnerabilitat que aprofiten els atacants continua en actiu i qualsevol usuari en podria ser víctima potencial, tot i que no ha explicat si el nombre de víctimes continua creixent.
Pel que sembla, però, els atacants que estan explotant aquest forat de seguretat es limiten a apuntar a comptes de famosos i marques, i han reconegut objectius com el compte de la CNN, el de Sony i el de Paris Hilton, tot i que asseguren que el de la celebritat "no ha estat compromès".
El nombre de comptes compromesos, ha afegit Haurek, és "molt petit", sense entrar en xifres concretes, però podria afectar les credencials i el control d'accés als comptes afectats:
Estem treballant directament amb els propietaris de comptes afectats per restaurar l'accés, si és necessari.
De moment, TikTok ja hauria restaurat l'accés al compte de la CNN i han "implementat mesures de seguretat millorades per protegir el seu compte en el futur", tot i que en el moment d'escriure aquestes línies el compte oficial de la CNN ha desaparegut de la plataforma.
No queda clar, encara, quin ha estat l'abast de l'atac en termes de comptes afectats i tampoc què han aconseguit els atacants mentre n'han tingut el control.
Un atac de "dia zero" i de "zero clic"
El forat de seguretat detectat es coneix com a vulnerabilitat de "dia zero", és a dir, un problema de seguretat que havia passat per alt als responsables de l'empresa fins que uns atacants l'han aprofitat.
Les companyies intenten preveure aquest tipus de vulnerabilitats de forma proactiva, sovint pagant a "hackers de barret blanc" perquè busquin i detectin els forats de seguretat abans que siguin aprofitats per atacants.
El problema, però, és que el mercat negre on comercien els "hackers de barret negre", institucions governamentals d'intel·ligència i empreses espia paga millor.
Habitualment, aquest tipus de vulnerabilitats de "dia zero" són especialment cotitzats perquè les empreses afectades no hi han pogut implementar cap solució i sovint són totalment efectives en el seu objectiu.
A més, en el cas de l'atac que està afectant TikTok, la vulnerabilitat podria també entrar en la categoria de "zero clic", ja que pràcticament no necessita que la víctima faci cap acció més enllà d'obrir el missatge directe que el conté.
El més habitual, en atacs menys sofisticats, és que el programari maliciós s'instal·li quan la víctima fa clic en un enllaç que el descarrega, o quan descarrega una imatge o arxiu que incorpora el malware, o fins i tot quan és enganyat per compartir credencials o informació clau.
