TikTok : une grosse faille de sécurité a exposé les données et numéros de téléphone des utilisateurs

Les chercheurs en sécurité de Check Point ont découvert une faille importante dans TikTok, rendant accessibles aux hackers les données et numéros de téléphones de nombreux utilisateurs. Celle-ci se trouve au niveau du protocole servant à synchroniser les contacts avec les profils des membres de l'application. Elle a depuis été signalée et réparée par la firme.

TikTok
Crédits : Solen Feyissa / Unsplash

Bien qu'elle soit l'application la plus téléchargée de 2020, TikTok n'est pas exempt de tout défaut. L'institut de recherche en cybersécurité Check Point a en effet révélé une faille importante du réseau social laissant à portée de main de tout hacker les données personnelles de millions d'utilisateurs. Les détails des profils ainsi que les numéros de téléphone associés au compte ont ainsi été accessibles pendant une durée indéterminée.

La faille se trouve au niveau de la fonctionnalité “Trouver des amis“, qui propose de synchroniser ses contacts de façon à retrouver le profil de ses connaissances. Cette dernière repose sur deux requêtes HTTP : une première pour envoyer le nom des contacts et les numéros correspondants à TikTok ; et une seconde pour retrouver les profils des utilisateurs associés aux numéros et afficher leur pseudo, photo et autres informations.

TikTok a rendu accessibles les données personnelles de millions d'utilisateurs

En temps normal, la synchronisation des profils est limitée à 500 contacts par jour, utilisateur et appareil. Check Point a néanmoins réussi à contourner cette limitation en récupérant les éléments nécessaires à l'identification, à savoir les cookies du serveur et le token utilisé lors de la connexion par SMS et en reproduisant le tout sur un émulateur d'Android.

À lire également – TikTok renforce ses paramètres de confidentialité pour les plus jeunes et leur impose un profil privé

Un hacker pourrait utiliser cette méthode pour modifier les requêtes HTTP pour obtenir autant de numéros de téléphone qu'il le souhaite en automatisant le processus. De cette manière, il pourrait établir une base de données de comptes liés entre eux par ce protocole. Il serait également possible d'accéder à tous les détails des profils synchronisés et, par extension, rechercher d'autres données personnelles à subtiliser sur des plateformes tierces. Check Point a alerté TikTok de l'existence de la faille, qui a depuis été corrigée.

Source : Checkpoint


La rédaction vous conseille aussi...

Abonnez-vous gratuitement à la newsletter

Chaque jour, le meilleur de Phonandroid dans votre boite mail !

Réagissez à cet article !

Demandez nos derniers articles !

Après les images et les vidéos, Gemini peut générer de la musique : voici comment ça marche

Gemini peut désormais générer de la musique grâce au nouveau modèle d’IA Lyria. On vous explique comment vous pouvez l’utiliser.  Le secteur de l’IA générative progresse à une vitesse fulgurante….

IA

Google bride l’autonomie et la vitesse de charge de son Pixel 10a, et on ne peut rien y faire

Sur le Pixel 10a, la fonction de santé de la batterie, qui limite la puissance de charge et la capacité de la batterie, ne peut pas être désactivée. Google a…

Pourquoi utiliser le même mot de passe pour plusieurs comptes en ligne est une mauvaise idée

Si vous utilisez le même mot de passe pour plusieurs de vos comptes en ligne, vous êtes loin d’être le seul. La plupart des internautes réutilisent en effet les mêmes…

Ford dévoile sa stratégie pour lancer des véhicules électriques à moins de 30 000 euros

Ford veut tourner la page de ses difficultés dans l’électrique. Le constructeur prépare une nouvelle génération de modèles plus abordables. Il compte passer sous la barre des 30 000 euros…

DJI Romo : en voulant téléguider son aspirateur robot avec une manette de PS5, il finit par en contrôler 7 000

Un propriétaire a tenté de piloter son aspirateur robot de la marque DJI avec une manette. Mais cette expérience a finalement révélé une sérieuse faille de sécurité : il a, de…

Ce rapport international révèle une hausse inquiétante des prix des GPU

Les cartes graphiques deviennent de plus en plus difficiles à acheter à prix raisonnable. Une nouvelle étude confirme une hausse marquée ces derniers mois. Certains modèles Nvidia enregistrent des augmentations…

Nothing Phone (4a) : les prix augmentent, mais pour quelles nouveautés ?

La date de sortie, les prix et les caractéristiques techniques des Nothing Phone (4a) et Phone (4a) Pro ont fuité. Voici ce qu’il faut en retenir.  Alors que Google vient…

Apple préparerait 3 nouveaux accessoires dopés à l’IA : Meta et les autres n’ont qu’à bien se tenir ?

La firme de Cupertino a pour habitude de s’inspirer de la concurrence et de s’approprier ses innovations pour les transformer en succès made in Apple. Selon les rumeurs, elle pourrait…

Prise en main du Google Pixel 10a : hyper séduisant au premier abord, mais…

À l’occasion d’une visite dans les locaux de Google France, nous avons eu l’opportunité de prendre en main en avant-première le tout nouveau Pixel 10a. En attendant notre test complet…

Voici pourquoi Tesla retire en urgence le mot Autopilot de ses publicités en Californie

Tesla abandonne le terme “Autopilot”, pourtant central dans sa communication. En Californie, le constructeur ajuste en urgence ses publicités. Une décision officielle l’y a contraint. La technologie d’aide à la…