TikTok comete erro de principiante e deixa contas e dados em risco

Esta vulnerabilidade poderia ter colocado milhões de utilizadores em risco de um ataque de terceiros. A falha em questão foi identificada no HackerOne por Lu3ky-13, e permitiu aos hackers contornarem a exigência de autenticação de dois factores e obterem acesso às contas de utilizador sem exigirem qualquer informação adicional por parte do utilizador.

A funcionalidade de autenticação de dois factores de TikTok foi brevemente vulnerável a ataques por força bruta.

É desanimador saber que, mesmo com a consciência acrescida da importância da autenticação de dois factores, foi recentemente descoberta uma falha crítica de segurança na aplicação e website do TikTok. Esta vulnerabilidade poderia ter colocado milhões de utilizadores em risco de um ataque de terceiros.

A falha em questão foi identificada no HackerOne por Lu3ky-13, e permitiu aos hackers contornarem a exigência de autenticação de dois factores e obterem acesso às contas de utilizador sem exigirem qualquer informação adicional por parte do utilizador. Tudo o que era necessário era um código de acesso gerado através de métodos de força bruta – técnicas que utilizam tentativa e erro para adivinhar senhas até encontrarem uma senha correcta.

TikTok

Este buraco de segurança é especialmente preocupante dada a imensa popularidade do TikTok entre as gerações mais jovens. Muitas crianças estão provavelmente a utilizar esta plataforma, tornando-as particularmente vulneráveis a riscos se as suas contas fossem comprometidas devido a esta violação. Além disso, uma vez que muitos utilizadores confiam que as informações da sua lista de contactos são privadas, podem não ter conhecimento de que alguém tenha obtido acesso aos seus dados até ser demasiado tarde.

É inaceitável que algo deste género possa acontecer apesar de todos os avisos sobre ameaças informáticas e aumento das medidas de segurança disponíveis hoje em dia. O pior é que não há garantias de que esta vulnerabilidade não apareça noutras aplicações ou websites populares no futuro. Embora sejam tomadas medidas por empresas como a Google e a Microsoft para colmatar estes buracos após a sua descoberta, em última análise recai sobre nós, enquanto utilizadores, a responsabilidade de nos mantermos sempre vigilantes em relação à nossa segurança online.

As recentes violações de segurança envolvendo empresas tecnológicas bem conhecidas, tais como a LastPass, lançaram uma luz dura sobre questões de senhas e o quão vulneráveis os utilizadores são em resultado disso. Ajudou as chamadas a fazer da autenticação de dois factores uma solução padrão a fim de dificultar a vida aos hackers, e as empresas estão a correr para a implementar. Claro, emparelhar uma senha com um código enviado via SMS ou gerado por algumas das melhores aplicações de dois factores de autenticação (2FA) como o Google Authenticator parece ser uma segunda camada sólida de segurança, mas não é revestida a ferro. Isto foi demonstrado por uma recente falha de 2FA na aplicação e website do TikTok, que poderia ter permitido aos hackers aceder à sua conta sem requerer autenticação de dois factores. A falha de segurança foi descoberta por Lu3ky-13 no HackerOne, demonstrando que era possível contornar as medidas de segurança sem suar. (via 9to5Google). Como mostrado no vídeo abaixo, a utilização de ataques por força bruta para entrar numa conta TikTok tornou inútil a autenticação de dois factores (2FA). A página do 2FA foi contornada após numerosas tentativas de login.

Vai gostar de saber:  Por que vários países estão a tentar banir o Tiktok?

TikTok reconheceu a falha de segurança, explicando que um problema de timeout aleatório num ponto final 2FA foi o culpado. De acordo com o serviço de vídeo em forma curta, “múltiplas tentativas incorrectas” feitas em sucessão rápida podem ter permitido aos criminosos informáticos contornar a autenticação de dois factores (2FA) se souberem o nome de utilizador e a palavra-passe de um deles.

O problema foi agora resolvido; contudo, esta não é a primeira vez que a funcionalidade de autenticação de dois factores (2FA) de TikTok tem uma lacuna de segurança. Em 2020, quando o TikTok lançou a funcionalidade, descobriu-se que um hacker podia contornar o 2FA fazendo o login numa conta comprometida através de um navegador da web em vez da aplicação móvel, como relatado pela ZDNet. Verificou-se que o TikTok apenas activou o 2FA para a sua aplicação móvel e deixou de fora o seu website.

Incidentes mais recentes lançam luz sobre outras brechas na aplicação. No ano passado, foi descoberta uma vulnerabilidade no processo de verificação de ligação profunda da aplicação, que poderia ter resultado em violações de dados e execução de código malicioso.A mais recente vulnerabilidade, que já deveria ter desaparecido, salienta que a autenticação de dois factores (2FA) tem a sua quota-parte de fraquezas à medida que a paisagem de ameaça evolui. Dito isto, continua a ser uma parte significativa da abordagem mais ampla da autenticação multifactorial à segurança.

É profundamente preocupante ver como uma falha de segurança como a que envolve o 2FA da TikTok pode derrubar todo um sistema e fazer com que os utilizadores fiquem vulneráveis ao acesso não autorizado. As implicações de tais falhas podem colocar em risco os dados pessoais de milhões, bem como os detalhes financeiros que são necessários para a maioria das compras online. Além disso, não são apenas os utilizadores finais que são afectados, mas também as empresas e organizações que dependem de serviços de autenticação de dois factores.

Como tal, é crucial que todos os utilizadores de tecnologia se mantenham informados sobre vulnerabilidades de segurança e possíveis explorações, a fim de compreender melhor como nos podemos proteger de actores maliciosos. É essencial que as empresas adoptem as melhores práticas quando se trata de protecção de dados dos utilizadores, e que prestem atenção aos relatórios de quaisquer ameaças potenciais que possam surgir. O AndroidGeek está aqui para ajudar com isto, fornecendo-lhe todas as últimas notícias, críticas e fugas de informação sobre tecnologia para que possa ficar à frente da curva quando se trata da sua segurança digital. Mantenha-se seguro lá fora!

Leiam as últimas notícias do mundo da tecnologia no Google News , Facebook  e Twitter e também no nosso Grupo de Telegram
Todos os dias vos trazemos dezenas de notícias sobre o mundo Android em Português. Sigam-nos no Google Notícias. Cliquem aqui e depois em Seguir. Obrigado!
[su_adsense1]