Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1058
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
-
▼
noviembre
(Total:
29
)
- El CNI detecta un aumento "cuantitativo y cualitat...
- Una nueva funcionalidad de Microsoft 365 es el "ma...
- Segunda actualización de emergencia para el CMS Dr...
- Nuevas víctimas de REvil ransomware: Vialidad Arge...
- Un empleado sube un Excel a GitHub con datos perso...
- Configurar correo electrónico seguro con SPF, DMAR...
- Vulnerabilidad crítica en MobileIron RCE de junio ...
- Zero Day: vulnerabilidad 2FA bypass en cPanel y WHM
- Investigador descubre accidentalmente 0-day en Win...
- Expuestas más de 300K+ cuentas de usuarios Spotify
- La Generalitat Catalunya sufre un fallo de segurid...
- TikTok corrige errores que permitían tomar el cont...
- Periodista holandés se filtra en una reunión "secr...
- La lista de las peores contraseñas de 2020
- Ransomware Ragnar Locker hackea la empresa multina...
- Fallo en Facebook Messenger permitía escuchar audi...
- Graves vulnerabilidades en VMWare y publican lista...
- Disponibles Kali Linux 2020.4 y Tails 4.13
- Ataque de ransomware hace que las impresoras impri...
- Datos de 3.2 millones de cuentas de Pluto TV han s...
- Defendiendo a los desarrolladores: youtube-dl está...
- Usuarios de Android demandan a Google por consumir...
- El envenenamiento de la caché de DNS, el ataque de...
- Problemas privacidad con GateKeeper de macOS 11 Bi...
- Activar medidas privacidad Navegador Firefox, Chro...
- Google Fotos dice adiós al espacio ilimitado; deja...
- Activar Windows 10-11 mediante Licencia Digital (H...
- Ransomware REvil afirma en una entrevista haber ga...
- Google descubre grave 0-day en el Kernel de Window...
- ► septiembre (Total: 21 )
-
▼
noviembre
(Total:
29
)
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un fallo de diseño en el mecanismo de registro del servidor VPN de Fortinet puede aprovecharse para ocultar la verificación exitosa de cre...
-
Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, ci...
TikTok corrige errores que permitían tomar el control una cuenta con un clic
TikTok ha solucionado dos vulnerabilidades que podrían haber permitido a los atacantes tomar control de las cuentas con un solo clic cuando estaban unidas para los usuarios que se registraron a través de aplicaciones de terceros. Taskiran informó a TikTok sobre la cadena de ataques de adquisición de cuentas el 26 de agosto de 2020, y la compañía resolvió los problemas y otorgó al cazador de errores una recompensa de $ 3,860 el 18 de septiembre.
TikTok corrige errores que permitían tomar el control de la cuenta con un clic
TikTok ha solucionado dos vulnerabilidades que podrían haber permitido a los atacantes hacerse cargo de las cuentas con un solo clic cuando estaban unidas para los usuarios que se registraron a través de aplicaciones de terceros.
La plataforma de redes sociales propiedad de ByteDance, con sede en Beijing, se utiliza para compartir videos móviles en bucle de formato corto de 3 a 60 segundos.
La aplicación de Android de TikTok tiene actualmente más de mil millones de instalaciones de acuerdo con las estadísticas oficiales de Google Play Store y ha cruzado la marca de 2 mil millones de instalaciones en todas las plataformas móviles en abril de 2020 según las estimaciones de Sensor Tower Store Intelligence.
Encontrado a través de pruebas de fuzz
El cazarrecompensas de errores alemán Muhammed Taskiran descubrió un error de seguridad reflejado en secuencias de comandos entre sitios (XSS), también conocido como XSS no persistente, en un parámetro de URL de TikTok que refleja su valor sin la desinfección adecuada.
Taskiran encontró el XSS reflejado que también podría haber llevado a la exfiltración de datos mientras probaba fuzz los dominios www.tiktok.com y m.tiktok.com de la compañía.
También encontró un punto final de la API de TikTok vulnerable a los ataques de falsificación de solicitudes entre sitios (CSRF) que hicieron posible cambiar las contraseñas de las cuentas de los usuarios que se registraron utilizando aplicaciones de terceros.
"El punto final me permitió establecer una nueva contraseña en las cuentas que habían utilizado aplicaciones de terceros para registrarse", dijo Taskiran.
"Combiné ambas vulnerabilidades creando una carga útil simple de JavaScript, activando el CSRF, que inyecté en el parámetro de URL vulnerable de antes, para archivar una 'toma de control de cuenta con un clic'".
Taskiran informó a TikTok sobre la cadena de ataques de adquisición de cuentas el 26 de agosto de 2020, y la compañía resolvió los problemas y otorgó al cazador de errores una recompensa de $ 3,860 el 18 de septiembre.
Más fallas de secuestro de cuentas corregidas el año pasado
TikTok también abordó un lote de vulnerabilidades de seguridad en su infraestructura, lo que permitió a posibles atacantes secuestrar cuentas para manipular los videos de los usuarios y robar su información.
Los problemas de seguridad fueron revelados a ByteDance por investigadores de Check Point a fines de noviembre de 2019, y la compañía corrigió los errores en un mes.
Los atacantes podrían haber utilizado el sistema de SMS de TikTok para explotar las vulnerabilidades para cargar videos no autorizados y eliminar, mover los videos de los usuarios de privados a públicos y robar datos personales confidenciales.
"TikTok se compromete a proteger los datos del usuario", dijo en ese momento el ingeniero de seguridad de TikTok, Luke Deshotels. "Como muchas organizaciones, alentamos a los investigadores de seguridad responsables a que nos revelen de manera privada las vulnerabilidades de día cero".
Fuentes:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.