ثغرة أمنية في “تيك توك” تركت بيانات ملايين المستخدمين في أيدي القراصنة واللصوص

لندن-“القدس العربي”: اكتشف باحثون أمنيون ثغرة خطيرة في تطبيق التواصل العالمي الشهير والمثير للجدل “تيك توك” وهو ما جعل البيانات الشخصية لملايين المستخدمين حول العالم عرضة للانتهاك والسرقة وتركها فريسة سهلة في أيدي قراصنة الإنترنت واللصوص المتخصصين الذين يلتقطون أية فرصة من هذا النوع.

وبحسب المعلومات التي نشرتها شركة أمنية متخصصة، وسرعان ما تداولتها العديد من وسائل الإعلام الغربية، فإن البيانات التي تم الوصول إليها تتضمن الأسماء والصور وأرقام الهواتف وغير ذلك من خصوصيات المستخدمين.

واكتشف خبراء الأمن ثغرة أمنية في ميزة “البحث عن الأصدقاء” المتوفرة في تطبيق “تيك توك” وهذه الثغرة من شأنها أن تسمح للمتسللين بالاستيلاء على المعلومات الشخصية من حسابات المستخدمين، بحسب الباحثين الأمنيين العاملين في شركة “تشيك بوينت” والتي اكتشفت الثغرة.

وتضمنت التفاصيل التي يمكن الوصول إليها وسرقتها أرقام الهواتف والألقاب وصور الملف الشخصي والصور الرمزية ومعرفات المستخدم الفريدة بالإضافة إلى بعض إعدادات الملف الشخصي.

وحسب تقرير لجريدة “دايلي ميل” البريطانية فإن الثغرة الأمنية، الموجودة في ميزة “العثور على الأصدقاء” أعطت الجهات السيئة معلومات كافية للاتصال بين تفاصيل الملف الشخصي وأرقام الهواتف.

وباستخدام هذه المعلومات، يمكن للمهاجمين إنشاء قاعدة بيانات للمستخدمين وأرقام هواتفهم ذات الصلة لإجراء نشاط ضار.

وكانت المشكلة ستؤثر فقط على أولئك الذين لديهم حسابات مرتبطة بأرقام هواتف أو قاموا بتسجيل الدخول باستخدام رقم هاتف، وفقاً للأبحاث الأمنية.

وتقول شركة “تشيك بوينت” المتخصصة إنه لم يتم العثور على أي دليل على أن الثغرة الأمنية قد تم استغلالها على الإطلاق وأن الخلل قد تم تصحيحه بواسطة الشركة المالكة لشبكة “تيك توك”.

وقالت المتحدثة باسم شركة “Check Point” إكرام أحمد في بيان: “يمكن لمهاجم بهذه الدرجة من المعلومات الحساسة أن يقوم بمجموعة من الأنشطة الخبيثة، مثل التصيد أو الأعمال الإجرامية الأخرى”.

وأضافت: “رسالتنا إلى مستخدمي تيك توك هي ضرورة مشاركة الحد الأدنى عندما يتعلق الأمر ببياناتك الشخصية”.

واستفاد باحثو  “تشيك بوينت” من برنامج مكافأة أخطاء “تيك توك” الذي تم إطلاقه في وقت سابق من هذا العام، والذي يدعو الخبراء والمبرمجين وغيرهم من المتحمسين للكمبيوتر للكشف عن أي ثغرات قد تكون كامنة في التطبيق.

وعثرت شركة الأمن السيبراني “تشيك بوينت” على المشكلة في ميزة “Friends Finder” والتي كشفت عن معلومات شخصية لبعض المستخدمين.

ويُنشئ تطبيق “تيك توك” رمزاً مميزاً للمستخدم وملف تعريف ارتباط للجلسة مرتبطين بمعرف جهاز فريد لكل هاتف مستخدم.

ومع ذلك، وجدت  “تشيك بوينت” أن الرموز المميزة للجلسة كانت صالحة لمدة تصل إلى 60 يوماً، مما سمح باستخدامها في الأجهزة الافتراضية.

وتابعت الشركة: “نظراً لأن هدفنا الرئيس كان فحص خصوصية تيك توك، فقد ركزنا على جميع الإجراءات المتعلقة ببيانات المستخدمين”.

وتم العثور على تطبيق الهاتف المحمول لتمكين مزامنة جهات الاتصال، مما يعني أنه يمكن للمستخدم مزامنة جهات الاتصال الخاصة به للعثور بسهولة على الأشخاص الذين يعرفهم على “تيك توك”.

ويقول الباحثون الأمنيون إنه “بكلمات بسيطة، فهذا يعني أنه من الممكن الربط بين تفاصيل الملف الشخصي وأرقام الهواتف”.

ووجد الفريق أنهم كانوا قادرين على تجاوز توقيع رسائل HTTP  الخاصة بـ”تيك توك” باستخدام أدوات قرصنة بسيطة، مما سمح لهم بمعالجة الوظيفة لجمع جهات الاتصال وإعادة توقيع الطلب.

ونظراً لأن العملية تمت باستخدام جهاز افتراضي، فيمكن إعداده للقيام بذلك تلقائياً، حسب ما كشف الباحثون.

وقال متحدث باسم  شبكة “تيك توك” في بيان: “إن أمان وخصوصية مجتمعنا هو أهم أولوياتنا، ونحن نقدر عمل الشركاء الموثوق بهم مثل تشيك بوينت، في تحديد المشكلات المحتملة حتى نتمكن من حلها قبل أن تؤثر على المستخدمين”.

وأضاف: “نحن نواصل تعزيز دفاعاتنا، من خلال التحديث المستمر لقدراتنا الداخلية مثل الاستثمار في دفاعات الأتمتة، وكذلك من خلال العمل مع أطراف ثالثة”.

يشار إلى أن هذه هي ثاني نقطة فحص للعيوب يتم اكتشافها في تطبيق “تيك توك” خلال العام الحالي، أي خلال أقل من شهر واحد فقط.

وفي الثامن من كانون الثاني/يناير 2021 شاركت الشركة مجموعة من نقاط الضعف التي كان من الممكن أن تسمح لممثل التهديد بالوصول إلى المعلومات الشخصية المحفوظة في حسابات المستخدمين، أو التلاعب بتفاصيل حساب المستخدمين، أو اتخاذ إجراءات نيابة عن المستخدم من دون موافقته.