חולשות אבטחה חמורות התגלו באפליקציית טיקטוק
בהודעה שהוציאה חברת צ'ק פוינט הישראלית היא חושפת חולשות אבטחה שאותרו באפליקציית הסרטונים הפופולרית טיקטוק. החולשות איפשרו לתוקפים לבצע מגוון פעולות בחשבונות של משתמשים, להסיר ולשנות הגדרות פרטיות של סרטונים ואף לגנוב מידע אישי שהזינו המשתמשים בעת ההרשמה לאפליקציה.
חוקרי הגנת הסייבר של חברת צ'ק פוינט, חשפו חולשות משמעותיות באפליקציה הפופולרית טיקטוק. להערכתם, החולשות שנמצאו מאפשרות לתוקפים לבצע פעולות בחשבונות של משתמשים כגון הוספה ומחיקה של סרטונים, שינוי הגדרת הפרטיות של הסרטונים (פרטי לפומבי) ואף גניבה של פרטים אישיים אשר הוזנו ע"י המשתמשים בעת ההרשמה לאפליקציה.
לדבריהם החולשות אפשרו לתוקף לשלוח הודעה עם לינק זדוני מתוך מערכת משלוח ההודעות של האפליקציה. לחיצה על הלינק אפשרה לתוקף להגיע לחשבון של הקורבן ולבצע מניפולציות בתוכן הקיים בחשבון. הכוללים מחיקת סרטונים, העלאת סרטונים והפיכת סרטונים פרטיים לפומביים. כמו כן, החוקרים גילו שאתר משנה של האפליקציה https://ads.tiktok.com היה חשוף למתקפות שאפשרו לתוקפים לדלות פרטים אישיים אותם הקלידו משתמשי האפליקציה בעת ההרשמה, ובכלל זאת שמות, כתובות ותאריכי ימי הולדת.
אפליקציית טיקטוק, נמצאת בבעלות החברה הסינית בייטדאנס, ולה למעלה ממיליארד משתמשים ב-150 מדינות. בנובמבר האחרון הפכה האפליקציה לבעלת ההורדות הגבוהה ביותר בחנויות האפליקציות השונות (למעלה מ-1.5 מיליארד הורדות). האפליקציה פופולרית בעיקר בקרב ילדים ובני הנוער המפרסמים בה סרטונים קצרים, של עד 60 שניות.
- אורקל עולה ב-3% - מה הקשר לטיקטוק?
- מדיטציה בטיקטוק לבני נוער - מה זה אומר והאם זה אפקטיבי?
- המלצת המערכת: כל הכותרות 24/7
צ'ק פוינט הודיעה לטיקטוק על ממצאיה וטיקטוק תיקנה את החולשות האמורות. ד"ר לוק דשוטלס (Luke Deshotels) מצוות אבטחת המידע של טיקטוק: "טיקטוק מחוייבת להגנה על המידע שיש בה. בדומה לארגונים רבים אחרים, אנו מעודדים חוקרי אבטחת מידע להעביר לידינו את ממצאיהם ביחס לחולשות חדשות. צ'ק פוינט הכירה בכך שכל החולשות שנמצאו על ידיה תוקנו בגרסא האחרונה של האפליקציה ואנו מקווים שפתרון מוצלח זה יעודד עוד שיתופי פעולה עם חוקרי אבטחת מידע נוספים".
משקיע סוחר בקריפטו (רשתות)העלימו רווחי קריפטו בעשרות מיליונים - כך חוקרי רשות המסים תפסו אותם
תושב חולון, תושב באר שבע ותושב נצרת נחקרו בחשד להעלמת הכנסות מקריפטו בסך עשרות מיליוני שקלים
במסגרת מבצע חקירות כלל ארצי: תושב נצרת, תושב באר שבע ותושב חולון נחקרו בחשד להעלמת הכנסות מקריפטו בסך עשרות מיליוני שקלים. לא ברור איך אנשים חושבים שרשות המס לא תעלה עליהם. בסוף יש עקבות דיגיטליות ועקבות בכלל ששמים את כל המעלימים בסיכון גדול. השיטה הבסיסית היא מודיעין מהשטח והלשנות. השיטה השנייה היא מעקב דיגיטלי. רשות המסים מתקדמת טכנולוגית וחוקרים שלה יכולים לעלות על כתובות IP מישראל שמשתתפים ונמצאים בפלטפורמות דיגיטליות.
החוקרים גם נמצאים בפורומים, ברשתות ומזהים גורמים חשודים ואז מרחיבים את החקירה גם במישורים נוספים. חוץ מזה, בסוף אנשים רוצים להשתמש בכסף שהרוויחו. זה מחלחל לחשבון הבנק, זה נמשך דרך כרטיסי אשראי, יש סימנים.
יש עוד הרבה דרכי פעולה, כשהיום מדווחת רשות המסים כי במסגרת החקירה התגלה כי לחשוד ששמו איגור שרגורודסקי, תושב חולון, שנחקר על ידי פקיד שומה חקירות מרכז יש דירות ונכסים שלא מוסברים דרך השכר השוטף שלו. מחומר החקירה עולה חשד כי לפיו הוא פעל בזירות מסחר למטבעות וירטואליים בחו"ל בהיקפים גבוהים בשנים 2020 - 2024 ולא דיווח לרשויות המס. כמו כן עולה חשד כי הוא לא דיווח על הכנסות שהיו לו מחברות בחו"ל ובסך הכל התחמק מדיווח על הכנסות בסך עשרות מיליוני שקלים.
שרגורודסקי שגר בחולון מחזיק מספר דירות בבעלותו, ששוויין עולה פי כמה וכמה על פוטנציאל הנכסים שלו בהינתן הכנסותיו המדוחות. נבדק חשד לעבירות על חוק איסור הלבנת הון, בכך שרשם נכס שבו עשה שימוש בעלים על שם אדם אחר. הוא חשוד שהרוויח עשרות מיליונים בקריפטו בלי לדווח לרשות המס.
- טלפון של חשוד יישאר בידי החוקרים לעוד 180 יום
- החשד: העלמת הכנסות משיפוצים ובנייה בסכום של כ-1.5 מיליון שקל
- המלצת המערכת: כל הכותרות 24/7
משקיע סוחר בקריפטו (רשתות)העלימו רווחי קריפטו בעשרות מיליונים - כך חוקרי רשות המסים תפסו אותם
תושב חולון, תושב באר שבע ותושב נצרת נחקרו בחשד להעלמת הכנסות מקריפטו בסך עשרות מיליוני שקלים
במסגרת מבצע חקירות כלל ארצי: תושב נצרת, תושב באר שבע ותושב חולון נחקרו בחשד להעלמת הכנסות מקריפטו בסך עשרות מיליוני שקלים. לא ברור איך אנשים חושבים שרשות המס לא תעלה עליהם. בסוף יש עקבות דיגיטליות ועקבות בכלל ששמים את כל המעלימים בסיכון גדול. השיטה הבסיסית היא מודיעין מהשטח והלשנות. השיטה השנייה היא מעקב דיגיטלי. רשות המסים מתקדמת טכנולוגית וחוקרים שלה יכולים לעלות על כתובות IP מישראל שמשתתפים ונמצאים בפלטפורמות דיגיטליות.
החוקרים גם נמצאים בפורומים, ברשתות ומזהים גורמים חשודים ואז מרחיבים את החקירה גם במישורים נוספים. חוץ מזה, בסוף אנשים רוצים להשתמש בכסף שהרוויחו. זה מחלחל לחשבון הבנק, זה נמשך דרך כרטיסי אשראי, יש סימנים.
יש עוד הרבה דרכי פעולה, כשהיום מדווחת רשות המסים כי במסגרת החקירה התגלה כי לחשוד ששמו איגור שרגורודסקי, תושב חולון, שנחקר על ידי פקיד שומה חקירות מרכז יש דירות ונכסים שלא מוסברים דרך השכר השוטף שלו. מחומר החקירה עולה חשד כי לפיו הוא פעל בזירות מסחר למטבעות וירטואליים בחו"ל בהיקפים גבוהים בשנים 2020 - 2024 ולא דיווח לרשויות המס. כמו כן עולה חשד כי הוא לא דיווח על הכנסות שהיו לו מחברות בחו"ל ובסך הכל התחמק מדיווח על הכנסות בסך עשרות מיליוני שקלים.
שרגורודסקי שגר בחולון מחזיק מספר דירות בבעלותו, ששוויין עולה פי כמה וכמה על פוטנציאל הנכסים שלו בהינתן הכנסותיו המדוחות. נבדק חשד לעבירות על חוק איסור הלבנת הון, בכך שרשם נכס שבו עשה שימוש בעלים על שם אדם אחר. הוא חשוד שהרוויח עשרות מיליונים בקריפטו בלי לדווח לרשות המס.
- טלפון של חשוד יישאר בידי החוקרים לעוד 180 יום
- החשד: העלמת הכנסות משיפוצים ובנייה בסכום של כ-1.5 מיליון שקל
- המלצת המערכת: כל הכותרות 24/7
.jpg "ביטוח לאומי - צילום: Shutterstock")