TikTok

Les chercheurs en cybersécurité de chez Check Point ont découvert une faille au sein de la très populaire application TikTok, dans le cadre du programme de bug bounty lancé par cette dernière. Un programme qui a porté ses fruits puisque la faille découverte était relativement importante puisqu’elle aurait pu permettre à des personnes mal intentionnées de récupérer les numéros de téléphone des utilisateurs de l’application.

Aujourd’hui corrigée, la faille découverte par les chercheurs se situait au niveau de la fonctionnalité « Friend Finder » qui permet de retrouver des amis sur l’application. Son exploitation aurait d’ailleurs pu se faire de manière automatique ce qui aurait permis aux pirates de voler des informations personnelles – dont « le numéro de téléphone, surnoms, photos de profil et d’avatar, identifiants d’utilisateur uniques et paramètres » – à grande échelle.

« La vulnérabilité aurait pu permettre à un attaquant de créer une base de données contenant les détails des utilisateurs et leurs numéros de téléphone respectifs. Un attaquant disposant de ce degré d’informations sensibles pourrait effectuer une gamme d’activités malveillantes, telles que le harponnage ou d’autres actions criminelles. Notre message aux utilisateurs de TikTok est de partager le strict minimum en ce qui concerne vos données personnelles. Mettez à jour votre système d’exploitation et vos applications avec les dernières versions », détaillent les chercheurs.

Le risque était bien réel et aurait pu mener à des campagnes de smshing, soit l’envoi de SMS frauduleux pour tenter de récupérer des données personnelles supplémentaires ou bancaires. Fort heureusement, aucune exploitation de cette vulnérabilité ne semble à déplorer. Il est tout de même conseillé de mettre à jour l’application TikTok.

Ce type d’informations – les numéros de téléphone – est très prisé par les hackers. La récente mise en vente de 533 millions de numéros de téléphone d’utilisateurs Facebook sur Telegram en est la preuve.