Les temps sont durs pour l’application musicale. Alors qu’elle est bannie des terminaux gouvernementaux aux États-Unis, CheckPoint y a découvert plusieurs failles.

La première touche l’application en elle-même : « Lorsque l'utilisateur cliquait sur le lien malveillant, l'attaquant pouvait prendre le contrôle du compte TikTok et manipuler son contenu en supprimant des vidéos, téléchargeant des vidéos et rendant publiques des vidéos privées ou "cachées" ».

La seconde concerne le site ads.tiktok.com qui était vulnérable à une attaque XSS. « Les chercheurs de Check Point ont exploité cette brèche pour récupérer des informations personnelles de comptes d'utilisateurs, y compris les adresses e-mail privées et les dates de naissance », explique la société.

Dans les deux cas, TikTok a été prévenu avant la publication de l’article de CheckPoint et les failles ont été corrigées. « Suite à un examen […] nous pouvons confirmer que nous n'avons vu aucun indice qui indiquerait qu'une attaque ou une fuite s'est produite », affirme la société dans un communiqué.