Check Point Research (CPR) heeft voor de tweede keer een kwetsbaarheid ontdekt in TikTok, dit keer in de functie "Vrienden zoeken". Door de kwetsbaarheid werd de privacybescherming omzeild en konden potentiële aanvallers mogelijk toegang krijgen tot de profielgegevens en dus ook telefoonnummers van gebruikers. Hierdoor zou het mogelijk zijn geweest om een database aan informatie op te bouwen en deze te gebruiken voor kwaadaardige activiteiten. Inmiddels is de kwetsbaarheid gepatcht en heeft CPR de onderzoeksbevindingen aan TikTok bekend gemaakt. Het probleem is inmiddels verholpen.
Profielgegevens die via de kwetsbaarheid toegankelijk waren, omvatten telefoonnummer, bijnaam, profiel- en avatarafbeeldingen, unieke gebruikers-ID's en bepaalde profielinstellingen. Die laatste tonen of een gebruiker een volger van het account is en of het profiel van een gebruiker verborgen is. CPR heeft zijn bevindingen op verantwoorde wijze bekendgemaakt aan ByteDance, de maker van TikTok. Er werd door ByteDance een oplossing geïmplementeerd om ervoor te zorgen dat TikTok-gebruikers de applicatie veilig kunnen blijven gebruiken.
Eerder TikTok-onderzoek door CPR
CPR heeft nu twee keer beveiligingslekken in TikTok gevonden. Op 8 januari 2020 publiceerde CPR ook al een paper over een reeks kwetsbaarheden in de populaire app. Die kwetsbaarheden stelden een bedreiger in staat tot het verkrijgen van persoonlijke informatie die was opgeslagen in de accounts van gebruikers, het manipuleren van accountgegevens of het ondernemen van acties namens een gebruiker zonder diens toestemming.
