Ein Social Captain Bug bedroht die Sicherheit von Tausenden von Instagram-Nutzern

Für viele ist Instagram eine Möglichkeit, mit trendigen Filtern und Effekten all Ihren Freunden zu zeigen, wie lecker Ihr Salat ist. Für andere ist Instagram jedoch von zentraler Bedeutung für ihr Geldverdienen und sie müssen sicherstellen, dass ihre Posts so viele Menschen wie möglich erreichen. Hier kommen Dienste wie Social Captain ins Spiel.

Das Marketing-Referat auf der Website von Social Captain befasst sich mit der Nutzung künstlicher Intelligenz, um Ihren Instagram-Einfluss "organisch" zu steigern, aber Sie könnten argumentieren, dass die Realität ein bisschen unkomplizierter ist. Die Idee ist, dass Social Captain Ihnen hilft, Follower zu gewinnen, indem Sie mit verschiedenen Instagram-Posts und -Seiten in Ihrem Namen interagieren. Sie können Ihre Zielgruppe auswählen und entscheiden, welche Art von Aktivität Social Captain über Ihr Konto ausführen darf. Wie auch immer Sie sich entscheiden, Social Captain muss mit Ihrem Instagram-Profil verbunden sein. Leider ist in letzter Zeit hier ein Fehler aufgetreten.

Social Captain hat die Anmeldedaten für Instagram im Klartext angezeigt

Es muss gesagt werden, dass sicherheitsbewusste Benutzer von Anfang an von Social Captain unbeeindruckt sein können. Zum Zeitpunkt des Schreibens warnen moderne Browser, dass Teile der Website von Social Captain nicht über HTTPS bereitgestellt werden, was bedeutet, dass nicht alle von Ihnen gesendeten und empfangenen Informationen verschlüsselt sind. In der heutigen Zeit wird dies nicht nur von der Sicherheitsgemeinschaft, sondern auch von einigen Benutzern missbilligt. Ein Sicherheitsforscher, der vor kurzem darum gebeten hatte, anonym zu bleiben, entdeckte ein anderes Problem, das jedoch viel dringlicher war.

Sie setzten sich mit Zack Whittaker von TechCrunch in Verbindung und erklärten, dass Personen, die ihre Instagram-Konten mit dem Service zur Steigerung der Popularität verbunden hatten, ihre Anmeldeinformationen für soziale Netzwerke im Quellcode ihrer Profilseite für Social Captain sehen konnten. Whittaker knüpfte einen Instagram-Wegwerfaccount an ein neu erstelltes Social Captain-Profil an und konnte die Ergebnisse innerhalb weniger Minuten bestätigen.

Zu sagen, dass dies nicht ideal ist, wäre eine Untertreibung. Unter den richtigen Umständen (Sie haben sich nicht von Ihrem Social Captain-Konto abgemeldet und ein Angreifer erhält Zugriff auf Ihr Gerät) ist Ihr Passwort nur ein paar Klicks entfernt. Der Fehler bedeutete auch, dass Social Captain Ihr Instagram-Passwort sehen konnte, was eigentlich nicht passieren sollte. Apps, die Sie in Ihre Social-Media-Profile integrieren, funktionieren normalerweise mithilfe von Zugriffstoken. Während sie Zugriff auf bestimmte Teile Ihres Kontos erhalten, sind Anmeldeinformationen normalerweise nicht zulässig.

Die Ergebnisse waren besorgniserregend, aber dann enthüllte der anonyme Forscher einen weiteren Fehler, der die Situation noch viel schlimmer machte.

Ein Social-Captain-Bug ermöglichte das Scrappen der persönlichen Informationen von Instagram-Nutzern

Standardmäßig sollte Ihre Social Captain-Profilseite erst nach der Authentifizierung zugänglich sein. Selbst wenn Ihre Anmeldeinformationen in der Seitenquelle gespeichert sind, sind die Chancen für einen In-the-Wild-Angriff gering. Der Forscher entdeckte jedoch, dass ein Fehler es ihnen ermöglichte, die Profile von Social Captains von völlig Fremden anzuzeigen, ohne ihre Passwörter zu erraten oder zu gefährden.

Stattdessen änderte der Experte einfach die Konto-ID in der Webadresse. Dadurch werden die Instagram-Konten der Benutzer automatisch gefährdet, da ihre Anmeldedaten in der Seitenquelle der Profilseiten von Social Captain gespeichert wurden. Um die Sache noch schlimmer zu machen, laut Whittaker waren die Konto-IDs größtenteils sequenziell, was die Möglichkeit eines Angriffs auf die Ressourcenzahl eröffnete.

Um dies zu beweisen, überreichte der Sicherheitsforscher Whittaker eine Tabelle mit Informationen von etwa 10 000 Benutzern von Social Captain. Für knapp die Hälfte von ihnen enthielten die verschrotteten Daten Instagram-Benutzernamen und -Kennwörter.

Glücklicherweise scheint es Cyberkriminellen nicht gelungen zu sein, die Verwundbarkeit von Social Captain vor dem Sicherheitsforscher zu erreichen. Mit Hilfe von Whittaker hat der Experte das nun verstopfte Loch aufgedeckt. Social Captain teilte TechCrunch mit, dass die Angelegenheit untersucht und potenziell betroffene Benutzer so schnell wie möglich benachrichtigt werden.

Instagram untersucht ebenfalls. Das Foto-Sharing-Netzwerk gab an, dass der unsichere Umgang mit den Anmeldeinformationen von Social Captain möglicherweise einen Verstoß gegen die Nutzungsbedingungen darstellt. Obwohl nichts darauf hindeutet, dass der Fehler ausgenutzt wurde, wird allen Nutzern von Social Captain empfohlen, ihre Instagram-Passwörter für alle Fälle zu ändern.

Wie für alle anderen sollte diese Geschichte eine weitere Erinnerung an die möglichen Auswirkungen der Verbindung von Social Media-Konten mit Apps und Diensten von Drittanbietern sein.