TikTok: una gran brecha de seguridad ha expuesto datos y números de teléfono de los usuarios

Los investigadores de seguridad de Check Point han descubierto un importante fallo en TikTok, que hace que los datos y números de teléfono de muchos usuarios sean accesibles a los hackers. Este se encuentra a nivel del protocolo que se utiliza para sincronizar los contactos con los perfiles de los miembros de la aplicación. Desde entonces ha sido denunciado y reparado por la empresa.

A pesar de ser la app más descargada de 2020, TikTok no está exenta de defectos. De hecho, el instituto de investigación de ciberseguridad Check Point ha revelado un importante fallo en la red social que deja los datos personales de millones de usuarios al alcance de cualquier hacker. Los detalles del perfil, así como los números de teléfono asociados a la cuenta, eran así accesibles durante un tiempo indefinido.

El fallo está en la función «Buscar amigos«, que ofrece sincronizar los contactos de uno para encontrar el perfil de sus conocidos. Esta última se basa en dos peticiones HTTP/: una primera para enviar el nombre de los contactos y los números correspondientes a TikTok; y una segunda para encontrar los perfiles de los usuarios asociados a los números y mostrar su apodo, foto y demás información.

TikTok ha hecho accesibles los datos personales de millones de usuarios

Normalmente, la sincronización de perfiles está limitada a 500 contactos por día, usuario y dispositivo. Sin embargo, Check Point consiguió saltarse esta limitación recuperando los elementos necesarios para la identificación, es decir, las cookies del servidor y el token utilizado durante el inicio de sesión por SMS y replicando todo enun emulador de Android.

TikTok recibe otro indulto: EEUU no prohibirá la app por ahora

Lee también – TikTok refuerza su configuración de privacidad para los usuarios más jóvenes y les impone un perfil privado

Un hacker podría utilizar este método para modificar las peticiones HTTP y obtener todos los números de teléfono que quiera automatizando el proceso . De este modo, podría establecer una base de datos de cuentas vinculadas entre sí por este protocolo. También sería posible acceder a todos los detalles de los perfiles sincronizados/ y, por extensión, buscar otros datos personales para robar en plataformas de terceros. Check Point alertó a TikTok del fallo, que ya ha sido parcheado/.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *