Уязвимость в системе безопасности TikTok позволяла злоумышленникам украсть ПДн

Исследовательская группа киберкомпании Imperva обнаружила уязвимость, которая позволяла злоумышленникам отслеживать активность пользователей популярного приложения как на мобильных, так и на настольных устройствах.

Выявленное нарушение безопасности TikTok позволяло потенциальным злоумышленникам осуществить утечку информации о любом пользователе платформы при переходе по ссылке, сообщила в среду компания по кибербезопасности Imperva.

По данным исследовательской группы компании, эта уязвимость была вызвана обработчиком событий window message, который неправильно проверял источник сообщения, предоставляя злоумышленникам доступ к конфиденциальной пользовательской информации. Информация включала сведения об устройстве, сведения о пользователе, историю и время просмотров, поисковые запросы и многое другое. К нарушениям безопасности, как сообщается, привело отсутствие аутентификации как при получении, так и при отправке внутренних сообщений в системе.

После выявления уязвимости, представители Imperva связались с разработчиками приложения. Проблема с безопасностью была полностью решена.

«Это нарушение является отличным примером того, как конфиденциальность и безопасность в социальных сетях во многом зависят от компаний, предоставляющих сервис, — прокомментировал сообщение Надав Авиталь, директор по исследованию угроз Imperva. — Небезопасное использование функции, зависящей от внешнего ввода, привело к утечке личной информации, которая могла быть использована хакерами для дальнейших атак, таких как фишинг, шантаж или для атак на устройства известных пользователей. Мы ценим тот факт, что Tiktok серьёзно поработал над устранением этой уязвимости».

3 мая, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.07.2026
Минцифры — за «нулевые» SIM-карты
17.07.2026
ИИ перешёл от сортировки резюме непосредственно к собеседованиям
17.07.2026
Киберустойчивость в фокусе «Информзащиты»
17.07.2026
Мастер ПДн от ARinteg включен в реестр отечественного ПО
17.07.2026
С 2027 года о банкирах расскажут только базовый минимум
17.07.2026
Три сотни репозиториев скрывали прожорливую малварь
17.07.2026
«Антиплагиат»: Остановить распространение ИИ уже невозможно
16.07.2026
ООН: Сложность задач, решаемых ИИ-моделями, удваивается каждые 4–7 месяцев
16.07.2026
«Яндекс» подтвердил безопасность всех ИИ-моделей семейства Alice AI
16.07.2026
Кто заплатит жертве скамеров, покажет проверка

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных