La 2FA di TikTok è stata per un breve periodo vulnerabile a causa di una configurazione errata nei server.
Le recenti violazioni della sicurezza che hanno coinvolto note società tecnologiche, come LastPass, hanno gettato una luce dura sui problemi relativi alle password e sulla vulnerabilità degli utenti. Ha aiutato a rendere l’autenticazione a due fattori una soluzione standard per rendere la vita difficile agli hacker e le aziende stanno correndo per implementarla.
Certo, associare una password a un codice generato da alcune delle migliori app 2FA come Aegis sembra un solido secondo livello di sicurezza (magari non inviato via SMS), ma non è inattaccabile. Ciò è dimostrato da un recente difetto 2FA nell’app e nel sito Web di TikTok, che avrebbe potuto consentire agli hacker di accedere al tuo account senza richiedere 2FA.
La falla di sicurezza è stata scoperta da Lu3ky-13 su HackerOne, dimostrando che era possibile aggirare la misura di sicurezza senza problemi. Come mostrato nel video qui sotto, l’utilizzo di attacchi di forza bruta per accedere a un account TikTok ha reso inutile la 2FA. La pagina 2FA viene bypassata dopo numerosi tentativi di accesso.
TikTok ha riconosciuto il difetto di sicurezza, spiegando che il colpevole era un problema di timeout casuale su un endpoint 2FA. Secondo il servizio video in forma abbreviata, “più tentativi errati” effettuati in rapida successione potrebbero aver consentito ai criminali informatici di aggirare la 2FA se conoscono il tuo nome utente e la tua password. Il problema è stato ora risolto, anche se questa non è la prima volta che la funzione 2FA di TikTok presenta una falla nella sicurezza e, visto quanto viene utilizzato, è un qualcosa che dovrebbe essere preso più sul serio.
Nel 2020, l’anno in cui TikTok ha implementato la funzione, si è scoperto che un hacker poteva aggirare l’autenticazione a due fattori accedendo a un account compromesso tramite un browser Web anziché l’app mobile. Si è scoperto che TikTok ha abilitato solo 2FA per l’app mobile, tralasciando il suo sito web.
Incidenti più recenti fanno luce su altre falle nell’app. L’anno scorso è stata scoperta una vulnerabilità nel processo di verifica del collegamento diretto dell’app, che avrebbe potuto causare violazioni dei dati ed esecuzione di codice dannoso. L’ultima vulnerabilità, che ormai dovrebbe essere scomparsa, evidenzia che la 2FA ha la sua parte di punti deboli man mano che il panorama delle minacce si evolve.
Detto questo, rimane una parte significativa del più ampio approccio di autenticazione a più fattori alla sicurezza.
