As vulnerabilidades impactaram o website da famosa plataforma de vídeos.
O TikTok corrigiu uma falha de segurança XSS refletida e um bug que levou à tomada de contas que impactou o domínio web da empresa.
A falha XSS no Tik Tok
Reportado através da plataforma de recompensa de bugs, a HackerOne, pelo pesquisador Muhammed “milly” Taskiran, a primeira vulnerabilidade se refere a um parâmetro URL no domínio tiktok.com que não foi devidamente analisado.
Enquanto filtrava a plataforma, o pesquisador descobriu que esta questão poderia ser explorada para conseguir um script refletido em vários sites (XSS), potencialmente levando à execução de código malicioso em uma sessão do navegador do usuário.
Vulnerabilidade e perigo na plataforma
Além disso, o Taskiran encontrou um ponto final vulnerável à falsificação de solicitação entre sites (CSRF), um ataque no qual os atores da ameaça podem enganar os usuários a submeter ações em seu nome a uma aplicação web como um usuário confiável.
Leia mais: Microsoft Edge registra extensões maliciosas sob nomes de serviços legítimos
O TikTok recebeu um relatório descrevendo as vulnerabilidades em 26 de agosto. Em 3 de setembro, TikTok havia triado as questões de segurança e atribuído uma nota de severidade de 8,2. Os bugs foram corrigidos em 18 de setembro.
Taskiran, o pesquisador responsável pela identificação da vulnerabilidade na plataforma recebeu um prêmio de recompensa de 3.860 dólares (R$20898,31 na cotação atual) por bug.
Traduzido e adaptado por equipe Revolucao.etc.br
Fontes: ZDnet, Hacker One