Článek
TikTok v posledních letech čelil nejenom žalobě ze strany americké vlády, ale také řadě hackerských útoků. Aktuálně mnoho významných tiktokových uživatelů hlásí, že ztratily přístup ke svému účtu, a to vše pouhým kliknutím na soukromou zprávu, která spustí škodlivý kód.
Společnost ByteDance, která TikTok vlastní, potvrdila, že celou situaci již řeší bezpečnostní tým. Detaily o povaze chyby však zástupci firmy nezveřejnili. Podle serveru TechCrunch přijala společnost opatření k zastavení útoku a zabránění jeho výskytu do budoucna.
Nebezpečný Qbot opět na scéně. Jak se bránit?
Předejít ztrátě kontroly nad účtem se přitom dá relativně jednoduše. „Pokud máte účet na TikToku, okamžitě si ověřte, zda máte nastavené dvoufaktorové ověřování, a to ještě dřív, než otevřete jakoukoli zprávu,“ poradil Petr Kadrmas, expert z kyberbezpečnostní společnosti Check Point.
„Podle posledních informací se malware šíří právě prostřednictvím soukromých zpráv v aplikaci TikTok. Nevyžaduje stažení, kliknutí ani jinou interakci kromě pouhého otevření samotné zprávy. Nastavením dvoufaktorového ověřování přidáte k přihlašování další bezpečnostní krok, pomocí kterého byste měli zabránit krádeži účtu při aktuální vlně útoků,“ doplnil Kadrmas.
Přihlašování prostřednictvím dvoufaktorového ověření může být pomalejší, a některé uživatele tedy odrazovat. „Je ale potřeba zvážit, zda drobný krok navíc přece jen nestojí za výrazné zvýšení bezpečnosti služby, kterou používáte. Bez ohledu na to, zda se jedná o TikTok, e-mail, nebo libovolnou jinou platformu,“ uzavřel bezpečnostní expert.
| Jak zabezpečit účet na TikToku? | |
|---|---|
| 1. | Klikněte na TikToku na stránku pro zabezpečení účtu a aktivujte funkci pro přihlášení s ověřením. Pro aktivaci této bezpečnostní funkce budete muset zadat své telefonní číslo. Pokaždé, když se někdo pokusí přihlásit k vašemu účtu, pošle vám TikTok SMS s jednorázovým heslem, které je nutné zadat pro úspěšné dokončení přihlášení. |
| 2. | Používejte silné a jedinečné heslo. Bezpečné heslo by mělo mít minimálně šest znaků a mělo by obsahovat číslice a ideálně velká i malá písmena. Heslo by naopak v žádném případě nemělo být tvořeno jménem uživatele, jednoduchými slovy (jako například „heslo”) nebo pouhou posloupností číslic. Vhodné je také pro jednotlivé webové služby používat různá hesla. Díky tomu se při úniku databáze jedné konkrétní služby nestane, že budou ohroženy i vaše další účty. |
| 3. | Pokud na svém účtu zaznamenáte jakoukoli podivnou aktivitu, okamžitě ji nahlaste na adrese support.tiktok.com. |
Chránit se vyplatí také e-mail
Podobným způsobem se vyplatí také chránit e-mailový účet. Právě ten je totiž zpravidla vstupní branou k celé řadě dalších internetových účtů. Už v minulém měsíci jsme přinesli příběhy lidí, kteří přišli o kontrolu nad svými poštovními schránkami na Seznamu, což se jim velmi vymstilo.
Z jednoho zotročeného e-mailu kyberšmejdi šířili viry na uložené kontakty. Druhý uživatel pak přišel o kompletní přístup k účtu, který využíval k podnikání. Následně musel změnit své kontakty na všech místech, kde se zákazníky komunikoval. Pak nezbývalo nic jiného než doufat, že si ho klienti znovu najdou, dokáže se s nimi spojit a obnovit nedokončené zakázky. Způsobená ztráta a důvěra zákazníků se však v tomto případě těžko vyčíslí.
Slibují přivýdělek z domova, z důvěřivců pak udělají bílé koně
Hlavní chybou bylo samozřejmě to, že uživatelé nevyužili žádnou z možností zabezpečení svého Seznam účtu a tím se připravili i o možnost účet z rukou útočníka včas zachránit.
„Neochota nastavit telefonní číslo nebo pocit ‚mně se to nemůže stát‘ mají pak za následek nepříjemně překvapené uživatele postavené do situace, kterou už není jak vyřešit, a to ani při vší dobré vůli na straně Seznamu. Bez jakýchkoli záchranných údajů nebo ověření nemá ani pracovník technické podpory jak poznat, jestli je uživatel právoplatným majitelem účtu, či nikoliv,“ varoval David Finger, ředitel divize Email.cz a Mapy.cz společnosti Seznam.cz.
Pro ostatní uživatele však mohou být tyto příběhy ponaučením. Účet na Seznamu totiž nabízí hned několik možností zabezpečení. Níže naleznete jejich přehled i s vysvětlením, proč jsou důležité.
| Záchranné telefonní číslo a e-mail |
|---|
| Klíčové je nastavení záchranného telefonního čísla a e-mailu, které nejenže umožní obnovit přístup k účtu při zapomenutí hesla, ale také umožňují uživatele informovat v okamžiku, kdy na jeho účtu dojde ke změně hesla. Pokud takovou změnu udělá útočník, je ještě možnost změnu hesla zrušit a k účtu znovu získat přístup. |
| Dvoufázové ověření |
| Vhodné je také nastavení dvoufázového (dvoufaktorového) ověření při přihlášení, které samo o sobě efektivně zabrání přístupu k účtu i v případě, že uživatel své heslo třeba nechtěně vyzradí. Možností dvoufázového ověření je více, takže si každý může vybrat, co mu nejlépe vyhovuje. Nejedná se přitom i nikterak složité postupy – přihlásit se dvoufázovým ověřením jde třeba jen opsáním šesti číslic z mobilní aplikace. |
| MojeID a bankovní identita |
| Patrně nejsilnějším prostředkem je ověření účtu přes MojeID či bankovní identitu. To zajistí, že se uživatel dostane ke svému účtu i v případě, kdy útočník heslo zjistí, změní, a změní i jeho záchranné údaje. Ověření totiž funguje jako další záchranný prostředek a z účtu ho může odebrat jen ten, kdo má k bankovní identitě nebo MojeID přístup. |
| Přihlašovací údaje do banky si ale uživatelé přirozeně chrání mnohem lépe, než přihlašovací údaje do e-mailu. Navíc v obou případech jde opět o dvoufázový princip přihlašování, takže tento způsob zabezpečení je opravdu silný. |
| Nikdo se přitom nemusí bát, že by Seznam měl jakýkoliv přístup k jeho účtu, do banky nebo ke kreditní kartě. Banka i MojeID předá Seznamu při ověření jen základní informace, jako je jméno a datum narození a identifikační číslo. To je jednorázová akce, žádné propojení mezi bankou a Seznamem nevzniká, a to ani jedním směrem – banka se tedy vůbec nedozví, že uživatel má účet na Seznamu, nebo jeho e-mailovou adresu. |
Když útočí vaši přátelé. Podvodníci zneužívají cizí e-maily
