Las vulnerabilidades de TikTok te permitieron capturar la cuenta de otra persona con un solo clic
Last Updated on febrero 2, 2021 by Daniel Cepeda
Los desarrolladores de TikTok han abordado dos vulnerabilidades que permitían capturar las cuentas de los usuarios registrados a través de aplicaciones de terceros.
Las vulnerabilidades eran un error reflejado en el XSS asociado al dominio de la compañía, lo que llevó a un conjunto completo de cuentas.
Las vulnerabilidades fueron reportadas por el investigador del IB Muhammed Taskiran, a través del programa oficial de recompensas por errores de la compañía en la plataforma HackerOne.
El primer problema fue con el parámetro URL en el dominio tiktok.com y m.tiktok.com, que no fue limpiado correctamente.
Este problema podría haber sido utilizado para ejecutar código malicioso dentro de la sesión del navegador de un usuario.
TikTok has patched a reflected XSS security flaw and a bug leading to account takeover impacting the firm's web domain.
Reported via the bug bounty platform HackerOne by researcher Muhammed "milly" Taskiran, the first https://t.co/8UA8TRleTd
— Abijita Foundation (@OfficialAbijita) November 23, 2020
El experto también descubrió que el punto final de la API de TikTok es vulnerable a los ataques de CSRF, que permiten cambiar las contraseñas de las cuentas de los usuarios que se han registrado en una aplicación de terceros.
El investigador notificó el problema a los desarrolladores de TikTok a finales de agosto de este año, y la compañía publicó parches para los bichos detectados a finales de septiembre.
Al investigador también se le pagó una recompensa por el bicho por la cantidad de 3.860 dólares.
