Menyusul peretasan akun TikTok milik selebriti dan brand ternama, sejumlah pakar keamanan memberikan komentar dan langkah-langkah pencegahannya.
Akun TikTok CNN, Paris Hilton dan Sony dilaporkan mengalami peretasan sehingga harus dinonaktifkan untuk menghindari dampak lebih lanjut. Pembobolan ini dilaporkan dilakukan penyerang dengan malware yang dikirim melalui pesan langsung (direct message) dalam aplikasi TikTok. Dikutip dari Silicon Angle, malware tersebut dikatakan tidak memerlukan unduhan, klik, respons, atau tindakan apa pun dari pengguna selain membuka pesan tersebut.
Motivasi di balik serangan ini belum jelas karena penyerang tidak melakukan tindakan apa pun pada akun yang diretas. Sementara ByteDance, pemilik TikTok, menyatakan telah mengambil langkah-langkah untuk menghentikan serangan ini dan mencegahnya di masa depan, serta bekerja sama dengan pemilik akun yang terdampak untuk memulihkan akses.
Mirip Serangan Terhadap MySpace
Menurut Ray Kelly, Fellow, Synopsys Software Integrity Group, insiden ini mengingatkannya pada "Samy worm" yang membidik MySpace pada tahun 2005. Ia menjelaskan bahwa peristiwa tersebut adalah contoh pertama yang dikenal luas dari worm yang dapat menyebar sendiri di platform media sosial sehingga menekankan pentingnya validasi input dalam aplikasi web.
Sementara peretas MySpace hanya bersenang-senang dengan memposting malware melalui pembaruan status, Kelly menduga para pelaku di TikTok tampaknya memiliki niat yang lebih jahat, yaitu mengambil alih akun dan menyebabkan kekacauan pada pengguna berprofil tinggi dengan menggunakan pesan langsung untuk menyebarkan malware.
“‘Malware’ mungkin bukan istilah yang tepat, tetapi kode atau skrip berbahaya. Dalam kasus Samy, itu adalah kode JavaScript yang diposting sebagai pembaruan status yang menggunakan cross-site scripting untuk merusak. Karena kasus TikTok disebutkan tidak memerlukan klik pada apa pun di DM, sepertinya pendekatannya mirip,” ujarnya.
Sementara Pete Nicoletti, Global Field CISO, Check Point Software Technologies berkomentar, kalau serangan ini diibaratkan hujan, maka TikTok terkena hujan es. “Ada beberapa laporan peretasan platform ini dalam beberapa tahun terakhir selain gugatan dari pemerintah AS. Hari ini, beberapa akun dari CNN hingga Paris Hilton melaporkan kehilangan akses ke akun mereka, semuanya hanya dengan membuka pesan langsung (DM) dan eksekusi kode berbahaya,” komentarnya.
Selanjutnya, Nicoletti menyarankan pengguna TikTok untuk segera mengatur autentikasi dua faktor sebelum membuka pesan langsung (direct message) apa pun. “Dengan mengatur otentikasi dua faktor, Anda akan menambahkan langkah keamanan ke login Anda dan seharusnya dapat mencegah pengambilalihan akun yang sedang dilaporkan saat ini,” ujarnya.
Pete icoletti juga memberikan beberapa tips cepat untuk mencegah akun TikTok dibobol dan menghindari akses tidak sah ke semua akun. Pertama, gunakan fitur login dengan verifikasi sehingga tiap kali seseorang mencoba masuk ke akun Anda, TikTok akan mengirimkan kode OTP ke nomor telepon yang Anda gunakan untuk verifikasi.
Selain itu, pengguna juga disarankan menggunakan kata sandi yang kuat dan unik, dengan menggunakan karakter khusus. Atau lebih baik lagi jika pengguna menggunakan password manager. “Jika Anda melihat aktivitas mencurigakan di akun Anda, laporkan segera ke support.tiktok.com,” ujar Pete Nicoletti.