İnsanların kendi videolarını paylaştığı TikTok, güvenlik söz konusu olduğunda pek çok kişinin aklında soru işareti bırakıyor. Son olarak Zoom ile gördüğümüz gibi, bir platform ne kadar büyük veya popüler olursa olsun güvenlik sorunları her zaman ortaya çıkabiliyor. TikTok için de bu durum geçerli ve uygulamanın şimdiye dek isminin karıştığı birden çok skandal var.
TikTok üzerinde tespit edilen son güvenlik açığıysa hackerların sahte sunuculara bağlanabilmesine ve videolar üzerinde oynama yapabilmesine izin veriyor. Bu soruna neden olan şeyse TikTok’un şirketin İçerik Dağıtım Ağları'ndan (CDN) medya içeriği almak için HTTPS yerine HTTP kullanmasından kaynaklanıyor.
Güvenlik araştırmacıları, pek çok doğrulanmış hesaba erişmeyi başardı:
Konuyu daha iyi açıklamak gerekirse HTTP kullanmak, veri aktarım performansında gözle görülür bir artış sağlar ancak beraberinde pek çok güvenlik açığını da getirir. Büyük platformların ve tarayıcılarının HTTPS’ye geçmesindeki ana neden de budur. Bu noktada Mysk isimli ekip, daha güvenli HTTPS yerine HTTP kullanan TikTok’ta kullanıcılar tarafından yayınlanan videoları yerel bir ağda DNS saldırısı düzenleyerek sahte videolarla değiştirmeyi başardı.
Yukarıda yer alan videoda da görüldüğü gibi Mysk, içlerinde Dünya Sağlık Örgütü’nün de yer aldığı birçok popüler ve doğrulanmış hesapta sahte ve yanlış bilgiler içeren videolar oluşturdu. Bu eylem, TikTok’un güvenlik açığına dikkat çekmek için yapıldığından yalnızca geliştiricilerin sunucusuna doğrudan bağlı olan kullanıcılar bu videoları görebildi.
"Sigara ve elektronik sigara içmek, koronavirüsü öldürür."
Kötü niyetli bir amaçları olmadığını söyleyen yazılımcılar, yalnızca saldırının mümkün olduğunu vurgulamak için böyle bir eylem yaptıklarının da altını çizdi. Bu noktada asıl vurgulanmak istenen şey, kötü niyetli bir kişinin kullanıcılara ne denli zarar verebileceği ve yanıltıcı paylaşımlarda bulunabileceğiydi.
Güvenlik araştırmacılarına göre TikTok, şifrelemesini değiştirmezse başına gelecek tek sorun bu olmayacak. Bir başka deyişle şirket, HTTPS’ye geçmezse daha pek çok HTTP kaynaklı saldırıya maruz kalacak.