איתי לוי נפל קורבן לפרצה בטיקטוק

צ'ק פוינט חשפה היום (ג') חולשה שאפשרה לאתר פרטי חשבון משתמש של בעלי חשבונות בטיקטוק – דרך הפיצ'ר Find Friends, שמאפשר למשתמשים לאתר אוטומטית משתמשים אחרים, שנמצאים באנשי הקשר שלהם. בין הקורבנות שהחוקרים הגיעו אליהם היו חשבונות הטיקטוק של הזמר איתי לוי, משפיען הרשת קווין רובין והאדריכל אלברט אסקולה, בן זוגו של מגיש הטלוויזיה אסי עזר. ענקית הסייבר הישראלית דיווחה על החולשה לטיקטוק והיא תוקנה.

החולשה אפשרה לתוקפים להגיע למספרי הטלפון האישיים המחוברים לחשבון הטיקטוק ולהצליב אותם עם פרטי חשבון נוספים, ובכלל זה כינוי, תמונות פרופיל ותעודת זהות משתמש (User ID), וכן גישה לחלק מהגדרות המשתמש, כגון איתור עוקבים ופרופיל מוסתר. בחברת הסייבר אומרים כי אילו האקרים היו מנצלים את החולשה, הם היו יכולים, עם אמצעים אוטומטיים מתאימים, לייצר מאגר מידע רחב היקף של טלפונים ופרטים אישיים נוספים, המבוססים כולם על הפרטים שהמשתמשים עדכנו בחשבונות הטיקטוק שלהם.

הפיצ'ר Find Friends בטיקטוק

החולשה ניצלה את מנגנון Find Friends, ששולח "שאילתות" לשרתים של טיקטוק ואלה מספקים את המענה להן בדמות חיבור לחשבונות הקיימים של אנשי הקשר של המשתמש. לפיצ'ר האמור היו הגנות, אולם החוקרים הצליחו לעקוף אותן דרך יצירת מנגנון עצמאי, שלא מחובר לאנשי הקשר של המשתמש וששלח שאילתות בהתאם לרצון התוקף. באמצעות ניצול החולשה הזו, התוקף יכול היה לייצר שאילתות לשרתי טיקטוק במכפלות של 500 מספרים על כל בקשה, ובתמורה לקבל מהפלטפורמה הצלבות של מספרי טלפון ופרטי פרופיל שלא היו מוגנים דיים.

החשבונות של אחד הקורבנות, שאותרו על ידי חוקרי צ'ק פוינט דרך הפרצה

בדרך זו, למשל, החוקרים הצליחו להשיג את פרטי המשתמש האישיים של לוי, רובין ואסקולה (שתמונות אינטימיות שלו ושל עזר דלפו לרשת בחודש יוני האחרון). השלושה הם בעלי שלושה חשבונות טיקטוק פופולריים: ללוי יש 50 אלף עוקבים, לרובין – 240 אלף, ואסקולה מחק בינתיים את החשבון שלו. את הממצאים העבירו החוקרים לטיקטוק וכאמור, ביחד הם תיקנו את הפרצה.

טיקטוק מסרה כי "הפרטיות וההגנה על פרטיהם של חברי קהילת טיקטוק היא בעדיפות עליונה שלנו, ואנחנו מעריכים שיתופי פעולה עם שותפים מוסמכים כמו צ'ק פוינט, שמסייעים לנו לזהות סוגיות פוטנציאליות ולתקן אותן לפני שהן משפיעות על המשתמשים. נמשיך לחזק את ההגנות שלנו על ידי שדרוג היכולות הפנימיות והשקעה בהגנות אוטומטיות, וכן על ידי שיתופי פעולה עם גורמים חיצוניים".

"ההמלצה: לשתף כמה שפחות מידע ולעדכן את האפליקציה"

את המחקר הובילו החוקרים אלון בוקסינר וערן ועקנין, ובראשו עמד עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט. ואנונו אמר כי "רצינו לבחון אם הפלטפורמה הפופולרית מאפשרת נגישות לפרטים אישיים וראינו שזה אפשרי דרך מעקף של מנגנון הגנה קיים באחד מהפיצ'רים הפופולריים בה. שימוש רחב היקף בחולשות מעין אלה מאפשר להאקרים לייצר מאגרי מידע שמצליבים שמות למספרי טלפון, וכן פרטים נוספים – מה שמשמעותי במיוחד בחשבונות בעלי עוקבים רבים ברשתות החברתיות. מאגר שכזה משמש האקרים למתקפות פישינג או להתקפות ישירות על מכשירים של משתמשים עם פרופיל גבוה. טיקטוק פעלה ברצינות רבה לתקן את החולשה".

ואנונו ציין כי "ההמלצה שלנו למשתמשים ברשתות החברתיות היא לשתף בהן כמה שפחות מידע אישי ולוודא שהאפליקציות מעודכנות בגרסה האחרונה שלהן".

יש לציין שבתחילת החודש חשפה צ'ק פוינט חולשה אחרת בטיקטוק, שאפשרה להשיג מידע אישי על משתמשים ונקיטת פעולות בחשבונות שלהם. גם במקרה זה פעלו שתי החברות לתיקון החולשה.