- Trong tuần vừa qua, đã có một số đối tượng tấn công chiếm dụng các tài khoản TikTok thuộc các cơ quan, tổ chức và của người nổi tiếng bằng cách khai thác một lỗ hổng zero-day tồn tại trong chức năng nhắn tin của nền tảng này.

Trước đó, TikTok đã thừa nhận một vấn đề bảo mật đã bị các tác nhân đe dọa khai thác để chiếm quyền kiểm soát các tài khoản người dùng trên nền tảng này, khiến tài khoản của nhiều người nổi tiếng bị xâm phạm bằng các cuộc tấn công không cần nhấp chuột qua tin nhắn.

Sự việc này được báo cáo lần đầu tiên bởi Semafor và Forbes, trong đó trình bày chi tiết về chiến dịch chiếm đoạt tài khoản không cần nhấp chuột, cho phép phát tán phần mềm độc hại qua tin nhắn để xâm phạm các tài khoản thương hiệu và người nổi tiếng mà không cần phải nhấp hoặc tương tác với nó.

Sau khi bị chiếm đoạt, các tài khoản của Sony, CNN,... đã bị TikTok tạm ngưng hoạt động đề ngăn chặn việc các tài khoản này bị lợi dụng. Lỗ hổng an toàn thông tin này tồn tại trong tính năng nhắn tin của nền tảng TikTok. Đặc biệt, việc chiếm đoạt tài khoản xảy ra ngay khi người dùng mở một tin nhắn độc hại mà không cần phải tải xuống hoặc nhấp vào bất kỳ liên kết độc hại nào.

TikTok thông báo rằng họ đã nhận được cảnh báo về nguy cơ tấn công của lỗ hồng và đã thực hiện các biện pháp phòng ngừa để ngăn chặn việc tấn công, đồng thời, giảm thiểu nguy cơ tái diễn. Theo đánh giá ban đầu, chi một số nhỏ tài khoản TikTok bị ảnh hưởng bởi cuộc tấn công này. Hiện tại, thông tin chi tiết về lỗ hổng chưa được tiết lộ cho đến khi vấn đề được khắc phục một cách toàn diện.

PV