В приложении TikTok для Android, а также в веб-версии TikTok была обнаружена уязвимость, которая значительно облегчала обход двухфакторной аутентификации.
Обнаруженная Lu3ky-13 на HackerOne, уязвимость в приложении TikTok для Android представляла собой серьезную брешь в безопасности, позволявшую пользователям обходить двухфакторную аутентификацию без каких-либо специальных инструментов или методов. Уязвимость работала путем перебора учетных данных на странице входа, многократно пытаясь войти в систему, пока, в конечном итоге, страница двухфакторной аутентификации не пропускалась, и TikTok разрешал успешный вход в аккаунт.
TikTok кратко описала проблему:
Была обнаружена уязвимость, связанная со случайным тайм-аутом конечной точки двухшаговой проверки, которая могла привести к обходу аутентификации при множестве неудачных попыток, совершенных в быстрой последовательности. Было установлено, что для использования данной уязвимости требовался доступ к электронной почте/паролю пользователя или номеру телефона/коду, связанному с аккаунтом, а также многократные попытки перебора для обхода.
Об уязвимости было впервые сообщено TikTok в октябре 2022 года, она была устранена в середине декабря 2022 года и более не активна.
Конечно, эта уязвимость в TikTok предполагает, что злоумышленник имеет ваше правильное имя пользователя и пароль. Хотя эта проблема была устранена, это хорошее напоминание о необходимости следить за безопасностью паролей, особенно в свете недавних взломов безопасности, таких как взлом LastPass.
Вы можете увидеть уязвимость в действии ниже.