Piove sul bagnato dalle parti di TikTok perché, a distanza di pochi giorni dalla minaccia del Garante Privacy italiano di cui si è parlato in tutto il mondo, emerge ora una vulnerabilità che avrebbe potuto mettere a rischio la segretezza del numero di telefono degli utenti.
TikTok, numeri di telefono a rischio
La scoperta è firmata dai ricercatori Check Point Research, i quali spiegano:
La nuova falla, trovata nella funzione “Trova Amici” di TikTok, consentirebbe di bypassare le protezioni sulla privacy create per difendere gli utenti dell’app. Se lasciata senza patch, la vulnerabilità permetterebbe a un hacker di accedere ai dettagli del profilo di un utente e anche al numero di telefono associato al suo account, dando la possibilità di costruire un database da utilizzare per attività illecite. I dettagli del profilo accessibili tramite questa falla includono: il numero di telefono, il nickname, le immagini del profilo e dell’avatar, gli ID utente unici e alcune impostazioni del profilo, come ad esempio quella che consente a un utente di essere un follower pubblico o anonimo.
Non si tratta di una vulnerabilità il cui exploit sia alla portata di tutti, ma dimostra come in questi casi con un attacco sofisticato si possa metter mano a grandi banche dati estrapolando informazioni sensibili degli utenti.
“La nostra logica, questa volta, è stata quella di mettere a prova la privacy di TikTok“, ha spiegato Oded Vanunu, Head of Products Vulnerabilities Research di Check Point: “Eravamo curiosi di sapere se la piattaforma potesse essere usata dagli hacker per ottenere dati privati degli utenti; e la risposta è sì, in quanto siamo stati in grado di bypassare più meccanismi di difesa di TikTok. Questa vulnerabilità avrebbe potuto permettere ad un aggressore di costruire un database dettagliato degli utenti che, con quel grado di informazioni sensibili, avrebbe permesso all’aggressore di eseguire una serie di attività criminali come lo spear phishing. Il nostro consiglio agli utenti di TikTok, e non solo, è quello di condividere i propri dati personali solo quando strettamente necessario e soprattutto di aggiornare sempre il sistema operativo e le applicazioni alle ultime versioni“.
Il rapporto collaborativo tra le parti ha portato ad una sollecita risoluzione del problema, consolidando maggiormente la sicurezza dei dati nel nome della difesa degli utenti. Così TikTok: “La sicurezza e la privacy della comunità di TikTok hanno la nostra massima priorità, e apprezziamo il lavoro
di partner fidati come Check Point nell’identificare potenziali problemi in modo da poterli risolvere prima che colpiscano gli utenti. Continuiamo a rafforzare le nostre difese, sia aggiornando costantemente le nostre capacità interne come l’investimento in difese di automazione, sia lavorando con terze parti“.
