Παρ ολίγον χάος για ένα TikTok

Την πιθανότητα παραβίασης προσωπικών δεδομένων στην εφαρμογή TikTok, φαίνεται πως ανακάλυψε η Check Point Research μέσω ενός ελαττώματος στην δημοφιλής εφαρμογή. Το συγκεκριμένο “flaw” επιτρέπει στους hackers να χρησιμοποιήσουν την “αναζήτηση φίλων” της εφαρμογής για να αλιεύσουν τηλεφωνικούς αριθμούς και άλλα δεδομένα τα οποία εν συνεχεία θα μπορούσαν να αποθηκευτούν σε βάσεις δεδομένων για μελλοντικές κυβερνο-επιθέσεις. Σύμφωνα με όσα διαβάζουμε στο ρεπορτάζ της Alice Hearing, για λογαριασμό του Dexerto, η Check Point αναφέρει χαρακτηριστικά πως τα εν λόγω – μη ασφαλή – δεδομένα περιλαμβάνουν “αριθμούς τηλεφώνου, nicknames, φωτογραφίες προφίλ και avatars, μοναδικά user ID ακόμα και ρυθμίσεις όπως αν ένας χρήστης είναι ακόλουθος ή έχει κλειδωμένο (hidden) προφίλ”. Η εταιρεία προχώρησε σε άμεση ενημέρωση των υπευθύνων του TikTok με τους developers να βρίσκουν γρήγορα μία λύση στο πρόβλημα το οποίο θα μπορούσε να επηρέασε τα δεδομένα περισσότερων από ενός δισεκατομμυρίου χρηστών. Η συγκεκριμένη δυνατότητα (Friend finder) επιτρέπει τη δημιουργία ενός token για λογαριασμό του χρήστη, από κοινού με ένα session cookie για κάθε μοναδική συσκευή που φτιάχνει ένα λογαριασμό. Ωστόσο το συγκεκριμένο cookie παραμένει ενεργό για 60 ημέρες μετά την δημιουργία γεγονός που προσφέρει τη δυνατότητα προσθήκης σε εικονικές συσκευές αντί φυσικών κινητών τηλεφώνων. Πέρα από τις επιλογές που προσφέρονται στις ρυθμίσεις της εφαρμογής για την παραπάνω ασφάλεια προτείνεται η ενεργοποίηση της επαλήθευσης δύο βημάτων, όπως σε πληθώρα εφαρμογών, για την ενίσχυση της ασφάλειας στον λογαριασμό.