В веб-версии TikTok нашли серьезную уязвимость

При цитировании информации активная гиперссылка на evo-rus.com обязательна.

Разработчики TikTok усиленно работают над повышением безопасности платформы, но промахи все-таки допускают. Издание ZDNet, со ссылкой на одного из своих читателей, сообщило, что веб-версия TikTok не поддерживает многофакторную аутентификацию (через почту и SMS), которую в августе подключили всем пользователям сервиса.

То есть если чужие учетные данные попадут в руки злоумышленника (к примеру, через фишинговую атаку или брутфорс), он сможет войти в учетную запись TikTok через сайт.

Зайти-то он зайдет, но, к счастью, не разгуляется: веб-версия не позволяет менять пароль, поэтому полностью захватить чужую учетку не получится. Максимум хакерских пакостей в данном случае это загрузка и публикация нового видео, например, с целью испортить репутацию аккаунта или прорекламировать мошеннический продукт от лица популярного пользователя. Из более серьезного – распространение дезинформации, пропаганда и т.д.

Опасность усугубляется еще и тем, что мобильное приложение TikTok не уведомляет пользователя об активных в веб-версии сеансах. То есть кто-то зашел в вашу учетку через браузер, а вы об этом даже не узнаете.

Разработчикам TikTok о проблеме уже известно: ее пообещали решить, распространив многофакторную аутентификацию и на сайт тоже. Но когда это произойдет, неизвестно.

В ZDNet поспешили успокоить пользователей китайского видеосервиса, напомнив, что на странице логина необходимо вводить капчу, поэтому массовая волна автоматизированных атак вряд ли будет.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»