В веб-версии TikTok нашли серьезную уязвимость

Разработчики TikTok усиленно работают над повышением безопасности платформы, но промахи все-таки допускают. Издание ZDNet, со ссылкой на одного из своих читателей, сообщило, что веб-версия TikTok не поддерживает многофакторную аутентификацию (через почту и SMS), которую в августе подключили всем пользователям сервиса.

То есть если чужие учетные данные попадут в руки злоумышленника (к примеру, через фишинговую атаку или брутфорс), он сможет войти в учетную запись TikTok через сайт.

Зайти-то он зайдет, но, к счастью, не разгуляется: веб-версия не позволяет менять пароль, поэтому полностью захватить чужую учетку не получится. Максимум хакерских пакостей в данном случае это загрузка и публикация нового видео, например, с целью испортить репутацию аккаунта или прорекламировать мошеннический продукт от лица популярного пользователя. Из более серьезного – распространение дезинформации, пропаганда и т.д.

Опасность усугубляется еще и тем, что мобильное приложение TikTok не уведомляет пользователя об активных в веб-версии сеансах. То есть кто-то зашел в вашу учетку через браузер, а вы об этом даже не узнаете.

Разработчикам TikTok о проблеме уже известно: ее пообещали решить, распространив многофакторную аутентификацию и на сайт тоже. Но когда это произойдет, неизвестно.

В ZDNet поспешили успокоить пользователей китайского видеосервиса, напомнив, что на странице логина необходимо вводить капчу, поэтому массовая волна автоматизированных атак вряд ли будет.

При цитировании информации активная гиперссылка на evo-rus.com обязательна.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»