Uh-Oh! A autenticação multifator do TikTok pode ser contornada em navegadores

O TikTok ainda está forte, apesar da tensão em torno do futuro do aplicativo nos EUA. No entanto, há um problema significativo com um ótimo recurso de segurança que o aplicativo adicionou em agosto. A autenticação de vários fatores do Tiktok pode ser facilmente ignorada por completo se você efetuar login na plataforma usando um navegador da web.

O TikTok finalmente adicionando alguma forma de autenticação de dois fatores foi anunciado como um novo recurso excelente e muito necessário no início deste ano. No entanto, verifica-se que a autenticação multifatorial só entra em ação se o TikTok for usado em um telefone móvel. Na verdade, isso significa que, se malfeitores obtiverem as credenciais de login de um usuário , eles podem obter acesso à sua conta simplesmente fazendo login por meio de um navegador, evitando totalmente a etapa de MFA.

A TikTok afirmou sucintamente que pretende expandir sua funcionalidade de MFA para cobrir o uso do navegador da web em um futuro próximo.

Felizmente, mesmo que um ataque assumido conseguisse assumir uma conta do TikTok por meio do navegador MFA ignorar a exploração, as coisas não são tão assustadoras quanto parecem. O painel da web disponível na versão do navegador da plataforma tem funcionalidade limitada em comparação com a versão móvel. Por exemplo, não é possível assumir o controle total da conta por meio de uma alteração de senha. Esse tipo de acesso e funcionalidade está presente apenas no aplicativo móvel.

No entanto, os malfeitores ainda podem usar a conta comprometida para postar clipes de vídeo por meio dela, espalhando golpes ou tentando comprometer o usuário de alguma outra forma. Essas opções relativamente limitadas não deixam de ter consequências, pois uma possível aquisição em massa de contas pode ser usada para executar golpes bem organizados e propagar notícias falsas.

Um outro problema descoberto com o painel da web é que um usuário no celular não recebe nenhum tipo de notificação de que sua conta está sendo usada em um navegador no momento. Esperançosamente, isso será resolvido no futuro, junto com a correção de MFA para navegadores.

Por que você deve usar o MFA sempre que puder

A autenticação multifator se tornou uma medida de segurança extra relativamente difundida que as plataformas oferecem a seus usuários. O MFA geralmente força qualquer pessoa que tente fazer login em uma conta a fornecer uma chave ou token de segurança especial, muitas vezes entregue por texto a um número de dispositivo móvel conhecido e confiável. Isso limita severamente a probabilidade de malfeitores forçarem as senhas ou usarem credenciais de phishing para assumir contas em qualquer plataforma, pois uma etapa extra é introduzida e requer acesso ao telefone celular do usuário.

Isso não significa que o MFA oferece 100% de segurança contra ataques, já que há casos conhecidos de contornar certas implementações de MFA. Apesar disso, é uma ferramenta que deve ser usada sempre que disponível, pois diminui muito o risco para sua conta em qualquer plataforma.