TikTok: Zero-Day-Lücke ermöglichte Übernahme von Promi- und Marken-Accounts
Wegen einer Zero-Day-Lücke ließen sich auf TikTok Accounts über eine Direktnachricht übernehmen. Getroffen hat das einige Marken und Paris Hilton.
(Bild: Proxima Studio/Shutterstock.com)
TikTok hat eine Sicherheitslücke gestopft, die in den vergangenen Tagen dazu benutzt wurde, um Accounts von Promis und weltbekannten Marken zu übernehmen. Das berichtet Forbes unter Berufung auf den Betreiber der beliebten Video-App. Ausgenutzt wurde für die Attacken demnach eine Zero-Day-Lücke. Dabei habe es ausgereicht, den bösartigen Code per Direktnachricht zu verschicken. Die habe lediglich geöffnet werden müssen, um den Angreifern die Tür zu öffnen. Wie viele Accounts übernommen wurden, ist demnach unbekannt, sicher betroffen waren aber die von Sony, CNN und Paris Hilton. TikTok hat mit den Verantwortlichen für die Accounts zusammengearbeitet, um ihnen die Kontrolle zurückzugeben.
Hintergründe unklar
"Wir haben Maßnahmen ergriffen, um die Attacke zu stoppen und zu verhindern, dass sie sich in Zukunft wiederholt", zitiert Forbes aus einem Statement von ByteDance. Der Betreiber der Video-App spricht demnach von "einer Reihe" an Accounts, die von Promis und Marken befüllt werden. Man beobachte die Situation, um "unauthentische Aktivität" zu verhindern. Der Sprecher ergänzt, dass nur eine "sehr kleine Zahl" von Accounts übernommen worden sei, ohne aber eine konkrete Zahl zu nennen. Die übernommenen Accounts haben dem Bericht zufolge keine Beiträge abgesetzt, was die unbekannten Angreifer vorhatten, ist deshalb auch unklar.
Vor dem Eingeständnis von ByteDance hatte das US-Magazin Semafor die Übernahme des Accounts von CNN durch unbekannte Angreifer zuerst publik gemacht. Der wurde demnach in der Folge für mehrere Tage stillgelegt, woraufhin die Zusammenarbeit mit TikTok erfolgte. Vorher hätten mehrere CNN-Angestellte auf laxe Praktiken beim Umgang mit dem Account hingewiesen. Dutzende Angestellte hatten demnach Zugang zu dem TikTok-Account. Erst später war deutlich geworden, dass der erfolgreiche Angriff wohl nicht darauf zurückzuführen war. Auf TikTok ist die jetzt ausgenutzte Lücke nicht die erste, die zur Übernahme von Konten ausgenutzt werden konnte. Vor anderthalb Jahren war Microsoft auf eine ähnlich schwerwiegende Schwachstelle gestoßen.
(mho)