jeu. Sep 29th, 2022

Le chercheur en sécurité BlueHornet a découvert une instance cloud Alibaba mal sécurisée de TikTok. Ce qu’il y trouva l’étonna.

Un chercheur en sécurité connu sous le nom de « BlueHornet » a réussi à pirater TikTok samedi dernier. Il a été surpris d’apprendre que l’entreprise stocke tout son code source interne sur une instance cloud Alibaba mal sécurisée.

Un chercheur en sécurité de BlueHornet découvre une instance cloud d’Alibaba mal sécurisée

Le samedi 3 septembre 2022, le chercheur en sécurité BlueHornet, en réalité spécialisé dans la détection des APT et leur hacktivisme, a annoncé avoir piraté TikTok.

« Qui aurait pensé que @TikTok déciderait de stocker tout son code source interne sur une instance cloud d’Alibaba, en utilisant un (mauvais) mot de passe pourri ?« 

Une réaction ou une déclaration de TikTok à cet incident de sécurité pas tout à fait anodin n’était apparente que ce matin.

Je peux seulement dire : « Wow »

Après des problèmes de démarrage initiaux, BlueHornet a réussi à obtenir un accès complet à l’instance cloud Alibaba de TikTok. Mais ce qu’il y trouva l’étonna.

Des captures d’écran vidéo privées aux informations de paiement PayPal sensibles. Peu à peu, de plus en plus de données sont apparues.

Un véritable fonds d’informations en partie sensibles, qui entre de mauvaises mains pourrait causer pas mal de désagréments. Et pas seulement sur TikTok. Parce que les données des utilisateurs semblent également être affectées dans une mesure non négligeable.

TikTok : le géant chinois des réseaux sociaux critiqué à plusieurs reprises

BlueHornet n’est certainement pas le premier, ni le seul, à rencontrer des failles de sécurité ou des « incohérences » avec le géant chinois des réseaux sociaux.

Voir aussi  Microsoft 365 : les publicités sont apparues dans Office 2021

Au contraire. TikTok, l’application de médias sociaux chinois de renommée mondiale, ne peut plus échapper aux gros titres négatifs.

L’autorité américaine de la concurrence FTC (Federal Trade Commission) avait déjà infligé une amende record de 5,7 millions de dollars au géant chinois de l’internet en début d’année (2019) pour avoir collecté illégalement des noms, des adresses e-mail, des photos et des données de localisation de mineurs.

Mais même dans un passé récent, il y a toujours eu lieu de s’inquiéter. Par exemple, l’équipe de recherche Microsoft 365 Defender a récemment découvert : «Une vulnérabilité critique dans l’application Android de TikTok qui permettait la prise de contrôle en un clic du compte d’utilisateur de quelqu’un d’autre. Il suffisait que la victime de l’attaque ouvre un lien spécial“.

Mais les médecins et les hôpitaux pour enfants du monde entier soupçonnent également les vidéos virales TikTok d’être la principale raison de la « psychose de masse » chez les jeunes filles.

De bonnes raisons, ce géant chinois de l’application Pas donc il y en a beaucoup à utiliser. Deborah Woldemichael de l’initiative européenne klicksafe.de appelle même les parents à ne pas laisser leurs enfants seuls avec l’application ByteDance TikTok.

« Dans les temps sombres, les personnes handicapées étaient honteusement cachées par leurs familles. Aujourd’hui encore, la société les relégue dans des structures d’accueil et des ateliers cachés à la périphérie de la ville. Et maintenant, ils sont triés et rendus invisibles également dans le nouveau monde courageux de TikTok. La seule conclusion qui reste est la suivante : TikTok est une saleté misanthrope. Supprimez vos comptes, supprimez l’application de vos téléphones et expliquez à vos enfants ce que fait TikTok. »

t3n