Sự việc này được báo cáo lần đầu tiên bởi Semafor và Forbes, trong đó trình bày chi tiết về chiến dịch chiếm đoạt tài khoản không cần nhấp chuột, cho phép phát tán phần mềm độc hại qua tin nhắn để xâm phạm các tài khoản thương hiệu và người nổi tiếng mà không cần phải nhấp hoặc tương tác với nó.

Hiện vẫn chưa rõ có bao nhiêu người dùng bị ảnh hưởng. Người phát ngôn của TikTok cho biết công ty đã thực hiện các biện pháp để ngăn chặn cuộc tấn công và ngăn nó tái diễn trong tương lai.

TikTok cho biết họ đang làm việc trực tiếp với các chủ tài khoản bị ảnh hưởng để khôi phục quyền truy cập và cuộc tấn công chỉ ảnh hưởng đến một số lượng người dùng “rất nhỏ”. Công ty không tiết lộ thêm bất kỳ thông tin chi tiết nào về bản chất của cuộc tấn công hoặc các biện pháp giảm nhẹ mà họ đã sử dụng.

Vào tháng 1 năm 2021, Check Point đã trình bày chi tiết một lỗ hổng trong TikTok có khả năng cho phép kẻ tấn công xây dựng cơ sở dữ liệu về người dùng ứng dụng và số điện thoại liên quan của họ cho mục đích độc hại.

Sau đó, tháng 9 năm 2022, Microsoft đã phát hiện ra một lỗ hổng one-click ảnh hưởng đến ứng dụng Android của TikTok, có thể cho phép kẻ tấn công chiếm đoạt tài khoản khi nạn nhân nhấp vào một liên kết độc hại.

Năm ngoái, có tới 700.000 tài khoản TikTok ở Thổ Nhĩ Kỳ bị phát hiện đã bị xâm phạm, sau khi có báo cáo cho thấy việc chuyển hướng các tin nhắn SMS qua các kênh không an toàn đã cho phép kẻ xấu chặn bắt mật khẩu một lần (OTP) và giành quyền truy cập vào tài khoản của người dùng TikTok.

Các tác nhân độc hại cũng đã lợi dụng Thử thách vô hình (Invisible Challenge) của TikTok để phát tán phần mềm độc hại đánh cắp thông tin.