Serangan cyber baru telah mengguncang pengguna TikTok karena akun-akun “high profile”, termasuk milik perusahaan yang terkemuka dan selebriti menjadi korban dari kerentanan zero-day dalam fitur pesan langsung platform tersebut. Masalahnya kerentanan zero-day ini tidak memiliki pembaruan resmi atau dokumentasi publik, menyebabkan risiko keamanan yang signifikan.
Minggu lalu, para penyerang menargetkan akun-akun milik entitas terkemuka seperti Sony dan CNN sehingga dilakukan penghapusan sementara untuk mencegah eksploitasi lebih lanjut. CNN adalah yang pertama melaporkan pelanggaran tersebut, menurut temuan awal Semaphor. Dengan memanfaatkan kerentanan melalui pesan langsung (Dirrect Message), penyerang berhasil membajak akun tanpa memerlukan tindakan dari penerima untuk mengunduh payload atau mengklik tautan yang disisipkan. Kemudian penyerang dapat mem-bypass platform Privacy Protection dan mencuri informasi user seperti nomor telepon dan user ID.
Seperti yang dilaporkan oleh Forbes. Juru bicara TikTok, Jason Grosse, mengonfirmasi tentang masalah ini, dia menegaskan bahwa beberapa langkah telah diambil untuk menghentikan serangan dan mengurangi kemungkinan kejadian serupa di masa depan. Sedangakan pemilik akun yang terkena dampak sedang dibantu dalam memulihkan akses.
Meskipun TikTok mengakui pelanggaran yang telah mempengaruhi “jumlah kecil” akun berdasarkan analisis awal, namun luasnya dampak belum diungkapkan sampai sumber kerentanan diatasi. Meskipun upaya terus-menerus dilakukan untuk memperkuat infrastruktur keamanannya, TikTok terus berjuang dengan ancaman yang mengancam privasi pengguna dan integritas platform.
