TikTok Tambal Celah yang Bisa Ambil Alih Akun

TikTok Tambal Celah yang Bisa Ambil Alih Akun

Rachmatunnisa - detikInet
Selasa, 24 Nov 2020 08:58 WIB
FILE - In this July 21, 2020 file photo, a man opens social media app TikTok on his cell phone, in Islamabad, Pakistan. President Donald Trump said Saturday, Sept. 19, 2020 he’s given his “blessing” to a proposed deal between Oracle and Walmart for the U.S. operations of TikTok, the Chinese-owned app he’s targeted for national security and data privacy concerns. (AP Photo/Anjum Naveed, File)
Foto: AP/Anjum Naveed
Jakarta -

TikTok telah menambal cacat keamanan XSS dan celah yang berpotensi pengambilalihan akun yang bisa memengaruhi domain website jejaring sosial berbagi video tersebut.

Kerentanan ini pertama kali dilaporkan di platform bug bounty (penemuan celah keamanan) HackerOne oleh peneliti keamanan Muhammed "milly"Taskiran. Dia melaporkan kerentanan terkait dengan parameterURL di domain tiktok.com yang tidak dibersihkan dengan benar.

Dikutip dari ZDNet, masalah ini dapat dieksploitasi untuk mencapai cross-site scripting (XSS) yang terpantul dan berpotensi mengarah ke eksekusi kode berbahaya di sesi browser pengguna.

Selain itu, Taskiran juga menemukan endpoint yang rentan terhadap Cross-Site Request Forgery (CSRF), serangan di mana pelaku ancaman dapat menipu pengguna untuk mengirimkan tindakan atas nama mereka ke aplikasi web sebagai pengguna tepercaya.

Dia mengklaim mampu membuat muatan JavaScript sederhana yang menggabungkan kedua kerentanan tersebut. Script ini dapat memicu masalah CSRF, dan kemudian jika dimasukkan ke dalam parameter URL yang rentan, akan memungkinkan pengambilalihan akun orang lain hanya dengan satu klik.

"Endpoint ini memungkinkan saya mengatur kata sandi baru pada akun yang telah menggunakan aplikasi pihak ketiga untuk mendaftar," ujarnya.

TikTok pertama kali menerima laporan mengenai kerentanan ini pada 26 Agustus. Kemudian pada 3 September, TikTok melakukan triase masalah keamanan tersebut dan menetapkan skor tingkat keparahannya adalah 8,2. Selanjutnya bug diperbaiki pada tanggal 18 September. Atas temuannya ini, Taskiran diganjar hadiah bug bounty sebesar USD 3.860.



Simak Video "Tutorial Bikin Filter 'Nggak Ada Akhlak' yang Viral di TikTok"
[Gambas:Video 20detik]
(rns/rns)