Peneliti keamanan Tommy Mysk dan Talal Haj Bakry menemukan kelemahan pada di TikTok yang memungkinkan hacker memposting video dengan akun pengguna lain. Mereka memposting video di beberapa akun populer di TikTok, termasuk akun resmi WHO.
Hal itu bisa terjadi karena TikTok menggunakan protokol HTTP yang tidak terenkripsi, seharusnya mereka menggunakan protokol HTTPS yang lebih aman. Menurut para peneliti, pemilik jaringan Wi-Fi publik, penyedia layanan internet dan pemerintah dapat mengetahui riwayat aktifitas untuk setiap pengguna TikTok.
Para peneliti dapat mengubah konten dan mengganti video dengan melakukan metode serangan DNS (Domain Name System) pada jaringan. Setelah berhasil, mereka mempublikasikan video yang menunjukkan bagaimana mereka memasukkan video dengan informasi palsu ke dalam akun WHO yang terverifikasi.
Video palsu pada akun WHO
Peneliti tidak mengganti video di server TikTok, melainkan hanya di jaringan lokal. Ini berarti hanya user di satu router yang sama dapat melihat perubahannya. Namun, para peneliti percaya bahwa kerentanan tersebut dapat dieksploitasi pada skala yang lebih besar. Karena hacker dapat membobol server DNS yang aman sekalipun.
Pada awal 2020, Check Point menemukan kelemahan yang memungkinkan hacker dapat mengelola akun TikTok pengguna lain. Kemudian tim Mysk dan Bakry menemukan masalah keamanan pada TikTok yang menyediakan akses clipboard di iPhone.
TikTok Hacked By Two Developers To Demonstrate Security Issues