اكتشاف ثغرة أمنية في منصة تيك توك TikTok لمشاركة الفيديوهات القصيرة قد تسمح للمهاجمين بالاستعلام عن قاعدة بيانات النظام الأساسي. أي أن الخلل الأمني قد يسمح للقراصنة بتجميع أرقام هواتف المستخدمين ومعرّفات المستخدم الفريدة والبيانات الأخرى الناضجة، والتي يمكن استخدامها بكل سهولة لتنفيذ هجمات التصيد الاحتيالي.

يحصد تطبيق تيك توك، المملوك من شركة ByteDance ، أكثر من 800 مليون مستخدم نشط في جميع أنحاء العالم. ويبدو أن الثغرة الأمنية التي تم الإبلاغ عنها وتصحيحها قبل نشر الخبر علناً، كانت موجودة في ميزة “البحث عن الأصدقاء” داخل تطبيق TikTok للجوال. وتتيح هذه الميزة للمستخدمين العثور على أصدقائهم، إما عبر جهات الاتصال الخاصة بهم أو عبر Facebook أو عن طريق دعوة الأصدقاء.

ثغرة أمنية في تيك توك

لمساعدة المستخدمين في العثور على أصدقاء من خلال جهات الاتصال الخاصة بهم، يقدم تيك توك ميزة sync التي تسمح بمزامنة جهات الاتصال التي تملك حسابات على التطبيق. هذا يعني أنه من الممكن ربط تفاصيل ملف التعريف بأرقام الهواتف، وهنا تقع الثغرة الأمنية.

إذ قال الباحثون الأمنيون إن المهاجم قد يستفيد من هذه الميزة من أجل الاستعلام عن قاعدة بيانات TikTok بالكامل، مما قد يؤدي إلى انتهاك الخصوصية وتراجع درجة الأمن الرقمي. فالثغرة الأمنية قد تكون سمحت للمهاجمين ببناء قاعدة بيانات لتفاصيل المستخدمين وأرقام هواتفهم، وبالتالي يمكن لأي مهاجم قد حصل على هذه المعلومات الحساسة أن ينفذ مجموعة من الأنشطة الضارة والإجراءات الإجرامية الأخرى.

خطر التعرض لهجمات التصيد

تتضمن تفاصيل الملف الشخصي الأخرى التي يمكن الوصول إليها: الاسم المستعار المرتبط بالحساب والملف الشخصي وصور الأفاتار ومعرفات المستخدم الفريدة. بالإضافة إلى بعض إعدادات الملف الشخصي، مثل ما إذا كان المستخدم تابعًا أو إذا كان ملف تعريف المستخدم مخفيًا.

هذا النوع من البيانات يمكن أن يمنح المهاجمين الأدوات التي يحتاجونها لتنفيذ هجمات الهندسة الاجتماعية المستخدمة في رسائل البريد الإلكتروني الخاصة بالتصيد الاحتيالي والتصيد بالرمح. على سبيل المثال، إذا أوضح أحد المهاجمين لضحية التصيد الاحتيالي أن لديه رقم هاتفه أو معرف مستخدم فريد مرتبط بحسابه على TikTok ، فإن الضحية أكثر ميلًا لتصديقه.

أحد التحذيرات هو أن هذا الخلل قد يؤثر فقط على المستخدمين الذين اختاروا ربط رقم الهاتف بحسابهم، أو الذين قاموا بتسجيل الدخول باستخدام رقم الهاتف.