TikTok telah menambal cacat keamanan XSS dan celah yang berpotensi pengambilalihan akun yang bisa memengaruhi domain website jejaring sosial berbagi video tersebut.
Kerentanan ini pertama kali dilaporkan di platform bug bounty (penemuan celah keamanan) HackerOne oleh peneliti keamanan Muhammed "milly"Taskiran. Dia melaporkan kerentanan terkait dengan parameterURL di domain tiktok.com yang tidak dibersihkan dengan benar.
Baca juga: Janji Instagram soal Keamanan Data Pengguna |
Dikutip dari ZDNet, masalah ini dapat dieksploitasi untuk mencapai cross-site scripting (XSS) yang terpantul dan berpotensi mengarah ke eksekusi kode berbahaya di sesi browser pengguna.
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
Selain itu, Taskiran juga menemukan endpoint yang rentan terhadap Cross-Site Request Forgery (CSRF), serangan di mana pelaku ancaman dapat menipu pengguna untuk mengirimkan tindakan atas nama mereka ke aplikasi web sebagai pengguna tepercaya.
Dia mengklaim mampu membuat muatan JavaScript sederhana yang menggabungkan kedua kerentanan tersebut. Script ini dapat memicu masalah CSRF, dan kemudian jika dimasukkan ke dalam parameter URL yang rentan, akan memungkinkan pengambilalihan akun orang lain hanya dengan satu klik.
"Endpoint ini memungkinkan saya mengatur kata sandi baru pada akun yang telah menggunakan aplikasi pihak ketiga untuk mendaftar," ujarnya.
TikTok pertama kali menerima laporan mengenai kerentanan ini pada 26 Agustus. Kemudian pada 3 September, TikTok melakukan triase masalah keamanan tersebut dan menetapkan skor tingkat keparahannya adalah 8,2. Selanjutnya bug diperbaiki pada tanggal 18 September. Atas temuannya ini, Taskiran diganjar hadiah bug bounty sebesar USD 3.860.
Simak Video "TikTok Bicara Kebebasan Berpendapat Terkait Larangan di AS"
[Gambas:Video 20detik]
(rns/rns)
