TikTok исправил два типа уязвимостей, который давали возможность злоумышленникам взломать аккаунты пользователей «в один клик».
Уровень опасности уязвимостей сначала был определен как средний, а спустя несколько дней угрозу оценили как высокую.
Мухаммед Таскиран написал в блоге на HackerOne, что обнаружил уязвимый параметр URL и конечную точку с уязвимостью к межсайтовой подделке запроса (CSRF). Конечная точка позволяла Таскирану установить новый пароль к аккаунтам, которые использовали сторонние приложения для регистрации.
«Я соединил обе уязвимости, создав простую полезную нагрузку JavaScript, которую ввел в уязвимый параметр URL, чтобы достичь взлома аккаунта «в один клик», - прокомментировал он.
Проблема была решена 18 сентября, а Таскиран получил в награду $3860 за усилия.
Это не первый раз в этом году, когда TikTok исправляет критические уязвимости. В январе Check Point сообщил о множестве сбоев, которые злоумышленники могли использовать, чтобы украсть аккаунты и личные данные пользователей.
