En Social Captain truer sikkerheden for tusinder af Instagram-brugere

For mange er Instagram en måde at bruge trendy filtre og effekter på for at vise alle dine venner, hvor velsmagende din salat er. For andre er Instagram imidlertid afgørende for deres pengeindtægtssatsning, og de er nødt til at sikre, at deres stillinger når så mange mennesker som muligt. Det er her tjenester som Social Captain kommer ind.

Markedsføringen taler på Social Captain's websted og taler om at bruge kunstig intelligens til at "organisk" øge din Instagram-indflydelse, men du kan hævde, at virkeligheden er lidt mere ligetil. Ideen er, at Social Captain hjælper dig med at få tilhængere ved at interagere med forskellige Instagram-indlæg og -sider på dine vegne. Du kan vælge din målgruppe, og det er op til dig at vælge, hvilken slags aktivitet Social Captain må udføre via din konto. Uanset hvad du vælger, skal Social Captain dog være tilsluttet din Instagram-profil, og desværre er det her, ting gik galt for nylig.

Social kaptajn udsatte Instagram-loginoplysninger i almindelig tekst

Det må siges, at sikkerhedsbevidste brugere muligvis ikke er imponeret over Social Captain lige fra starten. I skrivende stund advarer moderne browsere om, at dele af Social Captain's websted ikke leveres via HTTPS, hvilket betyder, at ikke alle de oplysninger, du sender og modtager, er krypteret. I denne dag og alder, er dette ikke kun beskyttet af sikkerhedsfællesskabet, men også af nogle brugere. En sikkerhedsforsker, der anmodede om at forblive anonym, opdagede for nylig et andet problem, der imidlertid var meget mere presserende.

De kom i kontakt med TechCrunchs Zack Whittaker og forklarede, at folk, der havde tilsluttet deres Instagram-konti til den popularitetsforbedrende tjeneste, kunne se deres sociale netværks loginoplysninger inde i kildekoden på deres Social Captain-profilside. Whittaker tilsluttede en kastet Instagram-konto til en nyoprettet Social Captain-profil og formåede at bekræfte resultaterne inden for få minutter.

At sige, at dette ikke er ideelt, ville være en underdrivelse. Det ville betyde, at under de rigtige omstændigheder (du ikke har logget ud af din Social Captain-konto, og en hacker får adgang til din enhed), ville din adgangskode kun være et par klik væk. Fejlen betød også, at Social Captain rent faktisk kunne se din Instagram-adgangskode, som ikke skulle ske. Apps, som du integrerer med dine profiler på sociale medier, fungerer normalt ved hjælp af adgangstokens, og selvom de får adgang til visse dele af din konto, forbliver loginoplysninger normalt uden for grænserne.

Resultaterne var foruroligende, men så afslørede den anonyme forsker en anden bug, der gjorde tingene meget værre.

En Social Captain-fejl muliggjorde skrapning af Instagram-brugernes personlige oplysninger

Ved design skal din Social Captain-profilside kun være tilgængelig efter godkendelse, hvilket betyder, at selv hvis dine legitimationsoplysninger er gemt i sidekilden, er chancerne for et nat-angreb noget slanke. Forskeren opdagede imidlertid, at en fejl giver dem mulighed for at se Social Captain-profilerne af komplette fremmede uden at gætte eller kompromittere deres adgangskoder.

I stedet ændrede eksperten blot konto-id'et i webadressen. Dette sætter brugernes Instagram-konti automatisk i fare, fordi deres login-data blev gemt i sidekilden til Social Captain's profilsider. For at gøre det værre, ifølge Whittaker, var konto-id'er for det meste sekventielle, hvilket åbnede muligheden for et ressourceopregningsangreb.

For at bevise dette præsenterede sikkerhedsforskeren Whittaker med et regneark, der indeholdt oplysninger fra omkring 10.000 brugere af Social Captain. For knap halvdelen af dem indeholdt de skrabede data Instagram brugernavn og adgangskoder.

Heldigvis ser det ud til, at cyberkriminelle ikke formåede at komme til Social Captain's sårbarhed før sikkerhedsforskeren. Ved hjælp af Whittaker afslørede eksperten hullet, som nu er tilsluttet. Social Captain fortalte TechCrunch, at den undersøger sagen og vil advare potentielt berørte brugere så hurtigt som muligt.

Instagram undersøger også. Netværket for deling af fotos sagde, at Social Captain's usikre håndtering af folks login-legitimationsoplysninger muligvis er en krænkelse af dens servicevilkår. Selvom der ikke er noget, der tyder på, at fejlen er blevet udnyttet, tilrådes alle Social Captain-brugere at ændre deres Instagram-adgangskoder, bare i tilfælde af det.

Som for alle andre, bør denne historie være endnu en påmindelse om de potentielle konsekvenser af at forbinde sociale mediekonti til tredjeparts apps og tjenester.