TikTok vá lỗi zero-day bị khai thác để chiếm đoạt tài khoản

Tuần vừa qua, những kẻ tấn công đã chiếm đoạt tài khoản TikTok của một số công ty và người nổi tiếng, thông qua khai thác lỗ hổng zero-day trong tính năng nhắn tin trực tiếp (DM – direct message).

Sau khi bị xâm nhập, các tài khoản của Sony, CNN và Paris Hilton đã phải gỡ xuống để ngăn không bị lợi dụng.

Theo Forbes đưa tin, cách thức khai thác mà hacker sử dụng để hack tài khoản là qua DM, chỉ cần mục tiêu mở tin nhắn độc hại mà không yêu cầu tải xuống payload hoặc nhấp vào link nhúng.

Theo phát ngôn viên của Tiktok, những kẻ tấn công chỉ xâm phạm một số lượng rất nhỏ tài khoản TikTok. Công ty vẫn chưa tiết lộ chính xác số lượng người dùng bị ảnh hưởng hay chia sẻ bất kỳ chi tiết nào liên quan đến lỗ hổng bị khai thác.

Đây không phải là lỗ hổng đầu tiên ảnh hưởng đến người dùng TikTok trong những năm gần đây. Trước đó, công ty đã vá một lỗ hổng trên ứng dụng Android được phát hiện vào tháng 8/2022, cho phép tin tặc chiếm đoạt tài khoản chỉ bằng một cú chạm.

Nguồn: Bleeping Computer