该公司指出: “如果问题不解决,恶意攻击者将能攫取个人隐私数据,包括与账户关联的电话号码、昵称、用户ID、个人照片以及某些设置的权限,包括隐藏用户资料和管理订阅的功能。恶意攻击者可将所获信息用于犯罪目的。”
该公司研究人员已经两次在社交网络中发现了漏洞。他们上一次发布消息称,攻击者可以访问账户中存储的个人信息,或者未经用户同意就代替用户采取行动。
Check Point软件技术公司产品漏洞研究负责人奥德·瓦努努(Oded Vanunu)表示:“这次我们的主要任务是研究如何保护TikTok用户的个人信息。我们决定检查该平台是否可用于获取用户的个人数据。事实证明可以。我们成功地绕过了几种TikTok的保护机制,破坏了这款应用程序的保密性。网络犯罪分子利用这个漏洞可能会创建一个有用户和其电话号码的数据库。
该公司专家向TikTok开发商字节跳动报告了他们的发现,然后提出了解决方案。TikTok发言人针对此事评价称:“我们将继续加强保护功能——完善我们的内部实力,增加对自动安全系统的投资,并与其他组织展开合作。”