Журналисты издания ZDNet, со ссылкой на одного из своих читателей, сообщают, что на веб-версию TikTok не распространяется многофакторная аутентификация (через почту и SMS), в августе подключенная разработчиками для всех пользователей платформы.
Таким образом, злоумышленник, каким-то образом узнавший чужие учетные данные (к примеру, через фишинговую атаку или брутфорс), может войти в учетную запись TikTok через сайт, а не через мобильное приложение.
К счастью, через веб-версию нельзя изменить пароль пользователя и полностью захватить чужой аккаунт. По сути, все, что сможет сделать злоумышленник — загрузить и опубликовать новое видео, например, чтобы испортить репутацию аккаунта или прорекламировать мошеннический продукт от лица популярного пользователя. Также издание отмечает, что взломанные аккаунты могут использоваться для распространения дезинформации, пропаганды и так далее.
Журналисты обращают внимание, что мобильное приложение TikTok никак не уведомляет пользователя об активных в веб-версии сеансах. По сути это означает, что TikTok вообще не предупреждает пользователей, если кто-то использовал их учетные данные и вошел в учетную запись через браузер.
Разработчики TikTok уже пообещали исправить проблему и распространить многофакторную аутентификацию и на сайт тоже, однако пока они не назвали никаких конкретных сроков. ZDNet отмечает, что страница логина защищена CAPTCHA, то есть вряд ли можно ожидать волны автоматизированных атак и массовые компрометации TikTok-аккаунтов.