TikTok : une grosse faille de sécurité a exposé les données et numéros de téléphone des utilisateurs

 

Les chercheurs en sécurité de Check Point ont découvert une faille importante dans TikTok, rendant accessibles aux hackers les données et numéros de téléphones de nombreux utilisateurs. Celle-ci se trouve au niveau du protocole servant à synchroniser les contacts avec les profils des membres de l'application. Elle a depuis été signalée et réparée par la firme.

TikTok
Crédits : Solen Feyissa / Unsplash

Bien qu'elle soit l'application la plus téléchargée de 2020, TikTok n'est pas exempt de tout défaut. L'institut de recherche en cybersécurité Check Point a en effet révélé une faille importante du réseau social laissant à portée de main de tout hacker les données personnelles de millions d'utilisateurs. Les détails des profils ainsi que les numéros de téléphone associés au compte ont ainsi été accessibles pendant une durée indéterminée.

La faille se trouve au niveau de la fonctionnalité “Trouver des amis“, qui propose de synchroniser ses contacts de façon à retrouver le profil de ses connaissances. Cette dernière repose sur deux requêtes HTTP : une première pour envoyer le nom des contacts et les numéros correspondants à TikTok ; et une seconde pour retrouver les profils des utilisateurs associés aux numéros et afficher leur pseudo, photo et autres informations.

TikTok a rendu accessibles les données personnelles de millions d'utilisateurs

En temps normal, la synchronisation des profils est limitée à 500 contacts par jour, utilisateur et appareil. Check Point a néanmoins réussi à contourner cette limitation en récupérant les éléments nécessaires à l'identification, à savoir les cookies du serveur et le token utilisé lors de la connexion par SMS et en reproduisant le tout sur un émulateur d'Android.

À lire également – TikTok renforce ses paramètres de confidentialité pour les plus jeunes et leur impose un profil privé

Un hacker pourrait utiliser cette méthode pour modifier les requêtes HTTP pour obtenir autant de numéros de téléphone qu'il le souhaite en automatisant le processus. De cette manière, il pourrait établir une base de données de comptes liés entre eux par ce protocole. Il serait également possible d'accéder à tous les détails des profils synchronisés et, par extension, rechercher d'autres données personnelles à subtiliser sur des plateformes tierces. Check Point a alerté TikTok de l'existence de la faille, qui a depuis été corrigée.

Source : Checkpoint



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
  • instagram
    Instagram : la durée maximale des Stories passe enfin de 15 à 60 secondes

    Meta a confirmé le déploiement prochain d’un format de stories plus long sur son réseau social Instagram. Actuellement, si un utilisateur d’Instagram publie une Story de moins de 60 secondes, celle-ci est découpée en clips de 15 secondes. Alors qu’Instagram…

  • TikTok Unsplash
    TikTok ajoute enfin un bouton « je n’aime pas » dans les commentaires des vidéos

    Le réseau social TikTok vient de déployer un nouveau moyen pour les utilisateurs de faire le tri entre les commentaires positifs et négatifs. Les utilisateurs peuvent désormais « liker » ou « disliker » les commentaires d’autres internautes. Il n’est pas rare que la…

  • instagram
    Instagram va bloquer les photos nues en messages, adieu les pervers en MP

    Instagram veut lutter contre le harcèlement sexuel en ligne en développant un nouvel outil. Ce dernier veut détecter et bloquer automatiquement les photos de nus envoyées en message privé. De quoi permettre une navigation plus sûre sur le réseau, notamment…

  • Facebook arnaque malware
    Meta est de nouveau poursuivi pour avoir espionné les utilisateurs de Facebook sur iOS

    Meta fait l’objet d’une nouvelle proposition de recours collectif qui l’accuse de suivre et de collecter les données personnelles des utilisateurs d’iPhone, malgré les fonctionnalités et les politiques mises en place par Apple pour empêcher ce type de suivi sur…

  • Snapchat for Web Landing Page
    SnapChat propose enfin une version accessible depuis les navigateurs, on n’y croyait plus

    SnapChat fait le plein de nouveautés. L’une des plus significatives est le lancement de la version Web de la célèbre application de partage de photos et de vidéos.  La messagerie et le chat vidéo de Snapchat étaient déjà disponibles dans…

  • Discord Forum
    Discord ressuscite les forums pour les joueurs nostalgiques

    Alors que les forums ne sont plus vraiment au goût du jour sur Internet, Discord vient de présenter une toute nouvelle fonctionnalité de canaux de forum afin de contribuer à l’amélioration des discussions. S’il vous est déjà arrivé d’entrer dans…

  • tiktok challenge vol ecole
    TikTok est infesté par les fake news, selon cette étude

    TikTok est sûrement le pire réseau social pour s’informer des dernières nouvelles, à en croire la nouvelle étude de NewsGuard. En effet, le nombre de fake news sur la plateforme y est particulièrement élevé, et ce, sur plusieurs sujets d’actualité…

  • twitter rachat elon musk
    Twitter veut toujours forcer Elon Musk au rachat, les actionnaires y croient encore

    Ce mardi 13 septembre, l’immense majorité des actionnaires de Twitter ont voté en faveur du rachat par Elon Musk. Une décision assez peu surprenante d’une part, car l’offre du milliardaire est bien supérieure à la valeur réelle de l’action de l’entreprise ces…

  • facebook discord groupes
    Facebook lance les chats communautaires à la Discord

    Ce mardi 13 septembre 2022, Mark Zuckerberg, PDG de Meta, a annoncé l’arrivée imminente des chats communautaires sur Messenger et dans les groupes Facebook. Cette fonctionnalité, inspirée de Discord, permettra d’organiser les discussions impliquant de nombreuses personnes en catégorie. Nous…

  • twitter pirate
    Twitter vous permettra de modifier vos tweets cinq fois au maximum

    Twitter a annoncé l’arrivée de l’édition de tweet la semaine dernière. Aujourd’hui, nous avons plus de détails sur cette fonctionnalité. Par exemple, on sait qu’un tweet pourra être modifié cinq fois au maximum pendant 30 minutes. C’était une fonctionnalité réclamée…