Privégegevens TikTok-gebruikers toegankelijk via kwetsbaarheid

Cyberbeveiliger Check Point Research heeft voor de tweede keer een kwetsbaarheid ontdekt in TikTok, dit keer in de functie 'Vrienden zoeken'. Hierdoor konden potentiële aanvallers een tijdlang toegang krijgen tot de profielgegevens en dus ook telefoonnummers van gebruikers.

De kwetsbaarheid stelde hackers in staat om de privacybescherming van TikTok te omzeilen. Daardoor konden ze in theorie een database aan informatie opbouwen om die gegevens later te gebruiken voor kwaadaardige doeleinden. Of er ook daadwerkelijk misbruik is gemaakt van het beveiligingslek, is niet bekend. Inmiddels is de kwetsbaarheid door TikTok-moederbedrijf ByteDance gepatcht en verholpen.

Onbeschermde profielgegevens

De gegevens die via de kwetsbaarheid toegankelijk waren, omvatten volgens Check Point Research het telefoonnummer van de TikTok-gebruiker, zijn of haar bijnaam, profiel- en avatarafbeeldingen, de unieke gebruikers-ID en bepaalde instellingen.

Check Point Research heeft nu twee keer beveiligingslekken in TikTok gevonden. Op 8 januari 2020 publiceerde het bedrijf ook al een paper over een reeks kwetsbaarheden in de populaire video-app. Die stelden een bedreiger destijds in staat om toegang te krijgen tot persoonlijke informatie in de accounts van gebruikers, en tot het manipuleren van accountgegevens of het ondernemen van acties namens een gebruiker zonder diens toestemming.

Spear phishing

"Een aanvaller die dit soort gevoelige informatie in handen krijgt, zou een scala aan kwaadaardige activiteiten kunnen uitvoeren, zoals spear phishing", zegt Oded Vanunu, hoofd van Products Vulnerabilities Research bij Check Point. "Onze boodschap aan TikTok-gebruikers is dan ook om het absolute minimum aan persoonlijke informatie te delen en de app altijd te updaten naar de laatste versie." 

In samenwerking met Datanews