Tài khoản Tiktok của nhiều người nổi tiếng bị xâm phạm (0-click)

TikTok – một trong những nền tảng chia sẻ video phổ biến hiện nay, đã thừa nhận vấn đề bảo mật khi bị các hành động đe dọa tận dụng để kiểm soát các tài khoản nổi tiếng trên nền tảng này. Các lỗ hổng bảo mật đã được khai thác để chiếm quyền kiểm soát các tài khoản thương hiệu và người nổi tiếng mà không cần sự tương tác từ người dùng.

TikTok đang phải đối mặt với vấn đề bảo mật!

Sự việc này được báo cáo lần đầu tiên bởi Semafor và Forbes , trong đó trình bày chi tiết về chiến dịch chiếm đoạt tài khoản không cần nhấp chuột, cho phép phát tán phần mềm độc hại qua tin nhắn để xâm phạm các tài khoản thương hiệu và người nổi tiếng mà không cần phải nhấp hoặc tương tác với nó. Hiện vẫn chưa rõ có bao nhiêu người dùng bị ảnh hưởng. Người phát ngôn của TikTok cho biết công ty đã thực hiện các biện pháp để ngăn chặn cuộc tấn công và ngăn nó tái diễn trong tương lai.

TikTok cho biết họ đang làm việc trực tiếp với các chủ tài khoản bị ảnh hưởng để khôi phục quyền truy cập và cuộc tấn công chỉ ảnh hưởng đến một số lượng người dùng “rất nhỏ”. Công ty không tiết lộ thêm bất kỳ thông tin chi tiết nào về bản chất của cuộc tấn công hoặc các biện pháp giảm nhẹ mà họ đã sử dụng.

Đây không phải là lần đầu tiên vấn đề bảo mật được phát hiện trong nền tảng này. Vào tháng 1 năm 2021, Check Point đã trình bày chi tiết một lỗ hổng trong TikTok có khả năng cho phép kẻ tấn công xây dựng cơ sở dữ liệu về người dùng ứng dụng và số điện thoại liên quan của họ cho mục đích độc hại.

Sau đó, tháng 9 năm 2022, Microsoft đã phát hiện ra một lỗ hổng one-click ảnh hưởng đến ứng dụng Android của TikTok, có thể cho phép kẻ tấn công chiếm đoạt tài khoản khi nạn nhân nhấp vào một liên kết độc hại.

Năm ngoái, có tới 700.000 tài khoản TikTok ở Thổ Nhĩ Kỳ bị phát hiện đã bị xâm phạm, sau khi có báo cáo cho thấy việc chuyển hướng các tin nhắn SMS qua các kênh không an toàn đã cho phép kẻ xấu chặn bắt mật khẩu một lần (OTP) và giành quyền truy cập vào tài khoản của người dùng TikTok.

Các tác nhân độc hại cũng đã lợi dụng Thử thách vô hình (Invisible Challenge) của TikTok để phát tán phần mềm độc hại đánh cắp thông tin.

Làm thế nào để người dùng TikTok có thể bảo vệ tài khoản của họ trong tình hình bảo mật nhạy cảm như hiện nay?

Để bảo vệ tài khoản TikTok của mình trong tình hình bảo mật nhạy cảm như vậy, người dùng có thể thực hiện các biện pháp sau đây:

  • Sử dụng mật khẩu mạnh: Sử dụng mật khẩu phức tạp và không sử dụng mật khẩu giống nhau cho nhiều tài khoản.
  • Kích hoạt xác minh hai yếu tố: Bật tính năng xác minh hai yếu tố để tăng cường bảo mật tài khoản.
  • Cập nhật ứng dụng thường xuyên: Luôn cập nhật ứng dụng TikTok lên phiên bản mới nhất để nhận các bản vá bảo mật mới.

Nguồn: thehackernews.com.


Về VSEC:

20 năm kinh nghiệm trong lĩnh vực bảo mật và an toàn thông tin, là Trung tâm đào tạo và cảnh báo An toàn thông tin đầu tiên tại Việt Nam từ năm 2004.

Chúng tôi đã cộng tác và đồng hành với hơn 500+ doanh nghiệp để đảm bảo an toàn thông tin trong nước và quốc tế trong đó 90% các tổ chức tài chính Top 1 Việt Nam là khách hàng của VSEC.

VSEC là đơn vị đầu tiên tại Việt Nam tuân thủ và được CREST công nhận đạt tiêu chuẩn cho cả 2 dịch vụ Penetration Testing (Kiểm thử xâm nhập) và SOC (Security Operation Center – Trung tâm Vận hành và Giám sát ATTT) tại Việt Nam.

Chúng tôi cũng được tổ chức CyberRisk bình chọn là nhà cung cấp dịch vụ bảo mất duy nhất của Việt Nam lọt vào Top 250 MSSPs (Managed Security Service Provider) hàng đầu thế giới vào năm 2023.

VSEC | Your Information – Our Responsibilities