Die Sicherheitsfirma Check Point Research hat eine Sicherheitslücke beim beliebten chinesischen Videodienst Tiktok entdeckt, die offenbar den Diebstahl privater Nutzerdaten erlaubte. Zugänglich waren für Angreifer angeblich sowohl Telefonnummern, Nutzer-IDs und Profilfotos als auch Teile der Profil-Einstellungen. Aus den gestohlenen Daten hätte mit Leichtigkeit eine Datenbank erstellt werden können, die wiederum für weitreichende Phishing-Attacken hätte genutzt werden können, berichtet "Threatpost".

Freunde finden

Zugang zu den Daten erhielten die Angreifer über die "Freunde finden"-Funktion der App, über die Angreifer auf die bereits genannten Profildaten der Nutzer hätten zugreifen können. Eine Funktion, die normalerweise zum Auffinden von anderen Usern ermöglichen soll, die man möglicherweise kennt. Die gesammelten Daten hätten dann für Folgeangriffe genutzt werden können.

Sicherheitslücke geschlossen

Inzwischen soll Bytedance, die Firma hinter Tiktok, die Sicherheitslücke eigenen Aussagen zufolge bereits behoben haben, so "Techradar". "Die Sicherheit und Privatsphäre der Tiktok-Community ist unsere höchste Priorität. Wir schätzen die Arbeit unserer zuverlässigen Partner wie Check Point, potenzielle Probleme zu identifizieren, damit wir sie beheben können, bevor Nutzer betroffen sind", sagte ein Tiktok-Sprecher gegenüber "Bleeping Computer".

"Unsere primäre Motivation war, die Sicherheit von Tiktok zu erforschen", erklärt unterdessen Oded Vanunu von Check Point. "Wir waren interessiert daran zu sehen, ob Tiktok dafür genutzt werden kann, Zugang zu privaten Nutzerdaten zu erhalten. Wir waren in der Lage, mehrere Sicherheitsmechanismen zu umgehen, die zu einer Datenschutzverletzung geführt haben."

Nicht die erste Lücke

Um die erste Sicherheitslücke in Tiktoks Geschichte soll es sich dabei allerdings nicht handeln. Schon vor einem Jahr veröffentlichte Check Point ein Forschungspapier, das eine Reihe von Schwachstellen darlegte. (mick, 27.1.2021)