O aplicativo de vídeos curtos TikTok, que se tornou sensação principalmente entre adolescentes, tinha uma série de vulnerabilidades graves que permitiam que pessoas maliciosas manipulassem o conteúdo dos usuários e até extraíssem informações pessoais confidenciais salvas nessas contas.

A descoberta foi feita pela empresa de cibersegurança israelense Check Point, revelada nesta quarta-feira (8). Os responsáveis pelo TikTok disseram que a falha já foi corrigida e que não há registros de que hackers tenham se aproveitado das brechas.



Uma das brechas permitiria que atacantes enviassem mensagens com links maliciosos para usuários do TikTok. Uma vez que os usuários clicassem nesses links, as contas poderiam ser sequestradas, permitindo o envio de novos vídeos, acesso a conteúdos privados (e às vezes íntimos, como a própria Check Point destacou).

A empresa de cibersegurança testou a falha enviando links com malwares para si mesmos, via SMS. Eles descobriram que era possível enviar uma mensagem em nome do TikTok para qualquer número de telefone – no site da rede social há uma opção para que as pessoas enviem um SMS convidando os amigos a baixarem o app.

Com acesso às contas, eles enviaram novos conteúdos, apagaram vídeos e transformaram posts privados em públicos.

Uma outra vulnerabilidade, com outro método de ataque, permitia extração de dados pessoais pelo site do aplicativo. Entre as informações que poderiam ser captadas estavam endereços particulares, endereços de e-mail e data de nascimento – dados o suficiente para aplicar toda a sorte de golpes imagináveis. Os pesquisadores executaram códigos por meio de uma série de APIs do TikTok.

Todas as falhas foram descritas detalhadamente no site da Check Point. A empresa de cibersegurança avisou a desenvolvedora em 20 de novembro e todas as falhas foram consertadas em uma atualização liberada no15 de dezembro.

“O TikTok tem o compromisso de proteger os dados dos usuários”, disse Luke Deshotels, líder do time de segurança do aplicativo, ao New York Times. “Assim como muitas organizações, encorajamos pesquisadores de cibersegurança responsáveis a revelar de forma privada vulnerabilidades desconhecidas”.

A companhia israelense também enviou um resumo de suas descobertas para o Departamento de Segurança Nacional dos Estados Unidos, como informa o New York Times. Setores do governo americano se preocupam com o alcance do TikTok, que já atingiu milhões de download nos EUA – alguns legisladores e reguladores temem que a ByteDance, desenvolvedora do app, compartilhe informações demais com o governo chinês. Recentemente, a rede social foi condenada a pagar multa de US$ 1,1 milhão por ter coletado dados de crianças nos EUA.

Em 2018, o TikTok superou o Facebook, Instagram, YouTube e Snapchat em instalações mensais na App Store e foi baixado mais de um bilhão de vezes. Estima-se que a base de usuários ativos mensalmente atinja um número impressionante de 500 milhões de pessoas – à frente do Twitter (336 milhões) e Snapchat (186 milhões).

Em declaração ao New York Times, Christoph Hebeisen, líder de pesquisa da Lookout – uma outra empresa de cibersegurança – disse que não se surpreendeu com as falhas. “Eu esperaria esses tipos de vulnerabilidades em empresas como o TikTok, que possivelmente está mais focada num tremendo crescimento e no desenvolvimento de novas funcionalidades para seus usuários, em vez de segurança.”

Falando em novos recursos, o TikTok aparentemente está planejando um recurso de deepfake – mas a desenvolvedora parece pensar em métodos para impedir o uso nocivo da ferramenta. Um desafio e tanto em tempos de confusão entre imagens de videogame e acontecimentos da vida real.