Alcune figure di alto profilo su TikTok, inclusa la pagina di CNN, sono state colpite da una forma di cyberattacco sfruttando una vulnerabilità zero-day. La piattaforma social ha confermato l’avvenimento dell'attacco e ha già iniziato a lavorare per rafforzare la sicurezza degli account compromessi e per evitare ulteriori sfruttamenti del bug.
Un portavoce di TikTok, Alex Haurek, ha dichiarato:
"Il nostro team di sicurezza è a conoscenza di un possibile exploit mirato a numerosi account di alto profilo. Abbiamo intraposto le azioni necessarie per fermare l'attacco e prevenire incidenti futuri, e stiamo collaborando direttamente con i proprietari degli account per ripristinare l'accesso, se necessario."
In aggiunta a ciò, Haurek ha smentito le notizie che segnalavano il compromesso dell'account di Paris Hilton, definendole "non accurate", ma ha rifiutato di fornire commenti relativi a presunte intrusioni su account di Sony.
Il meccanismo dell'attacco avviene attraverso il sistema di chat privata di TikTok. Per compromettere un account, sembra sia sufficiente che il cybercriminale invii un messaggio diretto e che la vittima lo apra. Questo tipo di attacco, definito zero-click, non richiede che l'utente clicchi su alcun link o scarichi file per essere eseguito.
TikTok è sotto la lente di ingrandimento non solo per i recenti attacchi ma anche per precedenti problemi di sicurezza. Tra questi, si annovera un'altra grave vulnerabilità scoperta da Microsoft nell'agosto del 2022 nell'app Android di TikTok, che avrebbe potuto permettere a malintenzionati di modificare i profili delle vittime, oltre a inviare messaggi e caricare video per loro conto. Fortunatamente, tale vulnerabilità è stata individuata e risolta prima che potesse essere sfruttata.
Il contesto attuale è particolarmente complesso per TikTok e per la sua azienda madre, ByteDance, che si trovano ad affrontare una contestazione legale in America. La legislazione statunitense mette, infatti, in discussione la sicurezza nazionale legata all'utilizzo dell'app, sollevando preoccupazioni legate a eventuali interferenze da parte del governo cinese attraverso l'app.