0
0
Um mês depois que o TikTok lançou a autenticação multifatorial (MFA) para seus usuários, um leitor de ZDNet descobriu que o novo recurso de segurança da empresa estava habilitado apenas para o aplicativo móvel, mas não para seu site.
Esse lapso na implementação do MFA do TikTok abre as portas para cenários onde um ator de ameaças maliciosa poderia contornar o MFA fazendo login em uma conta com credenciais comprometidas através de seu site, em vez do aplicativo móvel.
Procurado para comentar as descobertas do leitor ZDNet, um porta-voz do TikTok disse que a empresa planeja expandir o MFA para cobrir seu site oficial no futuro próximo.
Enquanto isso, os usuários que habilitaram o MFA para sua conta TikTok por razões de segurança não devem baixar sua guarda e reutilizar senhas de outras contas, pensando que o MFA bloqueia todos os invasores. Esses usuários devem continuar a usar senhas complexas e difíceis de adivinhar.
Painel web do TikTok tem recursos limitados
No entanto, embora este seja tecnicamente um “bypass MFA”, o problema também não é tão perigoso quanto parece devido às opções limitadas disponíveis para os usuários do TikTok no painel da Web.
Por exemplo, mesmo que um invasor consiga adivinhar ou phish um usuário do TikTok para obter suas credenciais de conta, o invasor não pode alterar a senha do usuário através do painel da Web para sequestrar totalmente uma conta.
A única opção significativa que eles têm à sua disposição é fazer upload e postar um vídeo para desfigurar a conta do usuário ou promover golpes.
No entanto, só porque eles não podem sequestrar a conta, isso não significa que a conta é inútil. Por exemplo, os atacantes poderiam montar uma campanha de desfiguração em massa para promover vários tópicos, desde golpes até propaganda política.
Um desses incidentes aconteceu no Facebook e instagram no início deste ano, disse o pesquisador de segurança Zach Edwards à ZDNet em uma entrevista por e-mail esta semana. Um hacker misterioso invadiu contas do Facebook e Instagram, mudou os avatares dos usuários para uma imagem de uma bandeira do ISIS, e as contas foram suspensas e bloqueadas após serem sinalizadas pelos algoritmos de reconhecimento de imagem do Facebook, tornando a recuperação da conta um processo doloroso e longo para os usuários hackeados.
Além disso, Edwards levanta questões adicionais.
“Se o TikTok realmente não ativar a segurança de dois fatores para uma conta quando um usuário configura isso, isso levanta questões sobre se os números de telefone celular estão sendo usados para um propósito diferente”, disse Edwards.
“É um fato bem conhecido que o Facebook e outras empresas abusaram de inscrições de SMS de dois fatores, e um indicador claro de que o TikTok fez algo semelhante é a realidade de que o fator TikTok 2 é uma ilusão e totalmente opcional ao usar os recursos de login do site.”
A página “Sessões Ativas” também precisará ser corrigida
A boa notícia é que o TikTok tem a intenção de corrigir esse problema. No entanto, várias outras questões também terão de ser abordadas.
O leitor ZDNet que trouxe essa questão à nossa atenção também apontou que o aplicativo móvel TikTok não mostra sessões acontecendo em tempo real a partir do painel da Web. Em sua forma atual, isso significa que o TikTok não avisa os usuários quando alguém usou suas credenciais para acessar sua conta do TikTok através de um navegador.
No entanto, mesmo que haja uma brecha na atual implementação do MFA do TikTok, isso não significa que os usuários não devem usá-lo. Na verdade, eles definitivamente devem usá-lo.
O MFA é uma medida de segurança que força os usuários que estão acessando uma conta a fornecer um segundo “fator” depois de fornecer seu nome de usuário e senha. Esse fator geralmente pode assumir a forma de um código único enviado via SMS ou e-mail, uma solução biométrica ou um token criptográfico fornecido por uma chave de segurança.
Muitas empresas online fornecem o MFA como uma segunda camada de autenticação, a fim de proteger as contas contra situações em que as credenciais do proprietário foram vazadas ou adquiridas por terceiros.
O TikTok lançou o MFA baseado em SMS e e-mail para sua base de 800 milhões de usuários no mês passado, em agosto. O recurso é chamado de verificação em duas etapas (2SV) na página de configurações do aplicativo, e os usuários podem habilitá-lo seguindo as etapas estabelecidas aqui.
A empresa também exige que os usuários por padrão usem senhas complexas e também “incentivem os usuários a atualizar senhas regularmente e evitar usar as mesmas senhas em todas as plataformas”, disse um porta-voz.
Além disso, a página de login da Web também é protegida por um campo CAPTCHA, o que aumenta seriamente o limite para o bem-sucedido recheio de credenciais ou outras formas de ataques automatizados.
Mas, para ser claro, outros aplicativos de mídia social como Facebook, Twitter, Instagram e outros, suportam o MFA em seus painéis web e esse recurso de segurança deve se aplicar a todos os reais de um serviço, e não apenas ao aplicativo móvel.
FONTE: ZDNET