Selama seminggu terakhir, para penyerang telah berhasil membajak akun TikTok terkenal milik sejumlah perusahaan dan selebriti, dengan memanfaatkan kerentanan zero-day pada fitur direct message media sosial tersebut.
Kerentanan zero-day adalah celah keamanan yang belum memiliki patch resmi atau informasi publik yang merinci kelemahan mendasarnya.
Setelah diretas, akun pengguna milik Sony, CNN dan Paris Hilton harus dihapus untuk mencegah penyalahgunaan lebih lanjut. Akun CNN adalah akun pertama yang dibajak minggu lalu, seperti yang pertama kali dilaporkan oleh Semaphor pada hari Minggu.
Menurut laporan Forbes, eksploitasi yang digunakan oleh para penyerang untuk meretas akun melalui direct message (DM) hanya memerlukan target untuk membuka pesan berbahaya tersebut, tanpa perlu mendownload payload atau mengklik link yang disematkan.
Juru bicara TikTok, Alex Haurek kepada Forbes mengatakan “Tim keamanan kami menyadari potensi eksploitasi yang menargetkan sejumlah akun brand dan selebriti."
“Kami telah mengambil langkah-langkah untuk menghentikan serangan ini dan mencegahnya terjadi di masa depan. Kami bekerja secara langsung dengan pemilik akun yang terkena dampak untuk memulihkan akses, jika diperlukan,” lanjut Haurek.
Menurut Haurek, para penyerang hanya menyusupi sejumlah kecil akun TikTok. Perusahaan belum mengungkapkan jumlah pasti pengguna yang terkena dampak dan belum memberikan rincian mengenai kerentanan yang dieksploitasi hingga kelemahan mendasar diperbaiki.
Ini bukan pertama kalinya pengguna TikTok terpengaruh oleh kerentanan dalam beberapa tahun terakhir. Belum lama ini, perusahaan tersebut memperbaiki kelemahan pada aplikasi Android yang ditemukan oleh Microsoft pada Agustus 2022, yang memungkinkan peretas untuk "dengan cepat dan diam-diam" mengambil alih akun hanya dengan satu ketukan.
Sebelumnya, TikTok memperbaiki bug keamanan yang memungkinkan penyerang melewati perlindungan privasi platform dan mencuri informasi pribadi pengguna, termasuk nomor telepon dan ID pengguna.
Perusahaan juga telah memperbaiki kerentanan yang memungkinkan pelaku ancaman membajak akun pengguna yang mendaftar melalui aplikasi pihak ketiga. Kerentanan ini memungkinkan para penyerang menyusupi akun untuk memanipulasi video milik pengguna dan mencuri informasi pribadi mereka.
Pada September 2021, jumlah pengguna TikTok telah melampaui 1 miliar, dan saat ini aplikasi tersebut memiliki lebih dari 1 miliar download di Google Play Store dan 17 juta peringkat di iOS App Store.
0 Comments
