現在年輕一代很多人都是TikTok的用戶,平台內當然有不少高流量的短片,但平台外近日也有不少相關的新聞,報導該社交網絡出現保安事故,攻擊者能取得受害者帳號的控制權,而且無需受害者點擊任何連結。
TikTok帳號如何被入侵?
事故的起源來自非法組織利用無需點擊的安全漏洞,通過TikTok平台的direct message功能取得知名人士(或其他較小型)的帳號,受影響的帳號包括CNN、Paris Hilton和Sony,而令事件更棘手的是用戶無需點擊任何惡意連結,只是打開TikTok的direct message就會觸發惡意程式,根據TikTok發言人向傳謀發出的聲明,公司正嚴肅處理該安全漏洞,並已停止攻擊及預防同類事件再次發生,公司已經復原受影響帳戶用家的存取權。
用戶如何保護自己?
在其他文章中也有講述過,無需點擊的安全漏洞難以阻止或破解,但至少有些事能降低風險,尤其在社交平台上。
- 使用強力和獨一無二密碼,一如其他網站,密碼作為平台的入口卻經常是最大弱點,應該設定獨一無二,不在其他平台上重複使用的密碼。
- 使用雙重認證,大部份平台都提供某種形式的雙重認證去保障用戶,雖然大部份人都預設使用SMS或電郵作為第二核實來源,其實驗證器應用程式較為推薦使用。
- 如果不認識便不要點擊,如果收到來自陌生人的訊息,就更不應該點擊任何內裡的連結,來自那些帳號基本上都是詐騙,甚至不應該檢視來自陌生人的訊息,防範無需點擊安全漏洞而「好奇害死貓」。
- 教育年幼用戶,如果家中有小孩,又或者上年紀不熟識網絡的用戶群,就應該向他們灌輸基本網絡安全的概念。
資料來源:Kaspersky Blog