חוקרי חולשות האבטחה של חברת צ'ק פוינט ריסרץ', אלון בוקסינר וערן ועקנין, איתרו חולשה אשר אפשרה לאתר פרטי חשבון משתמש של בעלי חשבונות בטיק טוק דרך הפיצ'ר Find Friends. החולשה דווחה לטיקטוק ותוקנה בתיאום איתה.

החולשה האמורה אפשרה לתוקפים להגיע למספרי הטלפון האישיים המחוברים לחשבון הטיק טוק ולהצליבם עם פרטי חשבון נוספים (ובכלל זאת כינוי, תמונות פרופיל, תעודת זהות משתמש- User ID) וכן גישה לחלק מהגדרות המשתמש (איתור עוקבים, פרופיל מוסתר). ניצול של חולשה מסוג זו יכולה היתה לאפשר לתוקפים, המשתמשים באמצעים אוטומטיים מתאימים, לייצר מאגר מידע רחב היקף של טלפונים ופרטים אישיים נוספים המבוססים כולם על הפרטים שהמשתמשים עדכנו בחשבונות הטיק טוק שלהם.

החולשה ניצלה מנגנון קיים בפלטפורמה שנקרא Find Friends שמאפשר לטיק טוק לאתר אוטומטית משתמשים שנמצאים באנשי הקשר של המשתמש,  דרך מספר הטלפון שלהם. המנגנון למעשה "שולח שאילתא" לשרתי הפלטפורמה והם בתגובה מספקים את המענה לשאילתא בדמות חיבור לחשבון קיים. לפיצ'ר האמור היו הגנות, אולם החוקרים הצליחו לעקוף אותן דרך יצירת מנגנון עצמאי, שאינו מחובר לאנשי הקשר של המשתמש, אשר שלח שאילתות בהתאם לרצון התוקף. באמצעות ניצול החולשה הזו, התוקף יכול היה לייצר שאילתות לשרתי טיק טוק במכפלות של 500 מספרים על כל בקשה, ובתמורה לקבל מהפלטפורמה הצלבות של מספרי טלפון ופרטי פרופיל שלא היו מוגנים דיים.

בדרך זו, למשל, החוקרים הצליחו להשיג את פרטי המשתמש האישיים של בעלי חשבונות פופולריים בישראל (זמר, אדריכל ידוע, משפיען רשת) ואת הממצאים הם העבירו לטיק טוק. החוקרים עבדו בצמידות עם טיק טוק בכדי לתקן את החולשה, ובהמשך למחקר טיק טוק צרפה את התגובה הבאה: "הפרטיות וההגנה על פרטיהם של חברי קהילת טיק טוק היא בעדיפות עליונה שלנו, ואנו מעריכים שיתופי פעולה עם שותפים מוסמכים כמו צ'ק פוינט שמסייעים לנו לזהות סוגיות פוטנציאליות ולתקן אותן לפני שהן משפיעות על המשתמשים. אנו נמשיך לחזק את ההגנות שלנו על ידי שדרוג היכולות הפנימיות והשקעה בהגנות אוטמטיות, וכן על ידי שיתופי פעולה עם גורמים חיצוניים".

בינואר 2020 צ'ק פוינט איתרה חולשת אבטחה נוספת בטיק טוק שאפשרה להשיג מידע אישי על המשתמשים ונקיטת פעולות בחשבון. גם במקרה זה צ'ק פוינט פעלה עם טיק טוק לתיקון מלא של החולשה.

עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר: "רצינו לבחון באם הפלטפורמה הפופולרית מאפשרת נגישות לפרטים אישיים וראינו שזה אפשרי דרך מעקף של מנגנון הגנה קיים באחד מהפיצ'רים הפופולריים. שימוש רחב היקף בחולשות מעין אלו מאפשר להאקרים לייצר מאגרי מידע שמצליבים שמות למספרי טלפון, וכן פרטים נוספים, מה שמשמעותי במיוחד בחשבונות בעלי עוקבים רבים ברשתות החברתיות".

עוד הוסיף: "מאגר כזה משמש האקרים למתקפות פישינג או לחילופין להתקפות ישירות על מכשירים של משתמשים עם פרופיל גבוה. אנו מעריכים את העובדה שטיק טוק פעלה ברצינות רבה לתקן את החולשה. ההמלצה שלנו למשתמשים ברשתות החברתיות היא לשתף בהן כמה שפחות מידע אישי ולוודא שהאפליקציות מעודכנות בגרסא האחרונה שלהן".