Ένα Social Captain κοινωνικού απειλεί την ασφάλεια χιλιάδων χρηστών Instagram

Για πολλούς, το Instagram είναι ένας τρόπος να χρησιμοποιείτε μοντέρνα φίλτρα και εφέ για να δείξετε σε όλους τους φίλους σας πόσο νόστιμο είναι η σαλάτα σας. Για άλλους, όμως, το Instagram είναι ζωτικής σημασίας για την προσπάθεια λήψης χρημάτων και πρέπει να εξασφαλίσει ότι οι θέσεις τους θα προσεγγίσουν όσο το δυνατόν περισσότερους ανθρώπους. Αυτό είναι όπου έρχονται υπηρεσίες όπως ο Κοινωνικός Καπετάνιος.

Το μάρκετινγκ μιλάει στην ιστοθέση του κοινωνικού καπετάνιου σχετικά με τη χρήση τεχνητής νοημοσύνης για την "οργανική" αύξηση της επιρροής σας στην Instagram, αλλά θα μπορούσατε να υποστηρίξετε ότι η πραγματικότητα είναι λίγο πιο απλή. Η ιδέα είναι ότι ο Κοινωνικός Καπετάνιος σας βοηθά να κερδίζετε οπαδούς αλληλεπιδρώντας με διάφορες θέσεις και σελίδες του Instagram για λογαριασμό σας. Μπορείτε να επιλέξετε το κοινό-στόχο σας και εξαρτάται από εσάς να επιλέξετε ποιο είδος δραστηριότητας μπορεί να κάνει ο Κοινωνικός Καπετάνιος μέσω του λογαριασμού σας. Όποια και αν είναι η επιλογή σας, ωστόσο, ο Κοινωνικός Καπετάνιος πρέπει να συνδεθεί με το προφίλ σας Instagram και, δυστυχώς, αυτό είναι που τα πράγματα πήγαν στραβά πρόσφατα.

Ο κοινωνικός καπετάνιος εξέθεσε τα διαπιστευτήρια σύνδεσης του Instagram σε απλό κείμενο

Πρέπει να πούμε ότι οι χρήστες που έχουν συνείδηση της ασφάλειας μπορεί να μην υπονομεύονται από την αρχή με τον Κοινωνικό Καπετάνιο. Κατά τη στιγμή της σύνταξης, τα σύγχρονα προγράμματα περιήγησης προειδοποιούν ότι τμήματα του ιστότοπου του κοινωνικού καπετάνιου δεν παραδίδονται μέσω HTTPS, πράγμα που σημαίνει ότι δεν είναι όλες οι πληροφορίες που στέλνετε και λαμβάνετε κρυπτογραφημένες. Σε αυτήν την ημέρα και ηλικία, αυτό είναι κακία όχι μόνο από την κοινότητα ασφαλείας αλλά και από κάποιους χρήστες. Ένας ερευνητής ασφάλειας που ζήτησε να παραμείνει ανώνυμος ανακάλυψε πρόσφατα ένα άλλο ζήτημα που ήταν πολύ πιο πιεστικό.

Έρχονται σε επαφή με τον Zack Whittaker της TechCrunch και εξήγησαν ότι οι άνθρωποι που είχαν συνδέσει τους λογαριασμούς Instagram με την υπηρεσία αύξησης της δημοτικότητας, θα μπορούσαν να δουν τα διαπιστευτήριά τους σύνδεσης στο κοινωνικό δίκτυο μέσα στον πηγαίο κώδικα της σελίδας προφίλ του κοινωνικού καπετάνιου. Ο Whittaker συνέδεσε ένα λογαριασμό Instagram σε ένα νέο προφίλ κοινωνικού καπετάνιου και κατάφερε να επιβεβαιώσει τα ευρήματα μέσα σε λίγα λεπτά.

Το να πει κανείς ότι αυτό δεν είναι ιδανικό θα ήταν μια υποτίμηση. Θα σήμαινε ότι κάτω από τις σωστές συνθήκες (δεν έχετε αποσυνδεθεί από το λογαριασμό του Κοινωνικού Καπετάνιου σας και ο εισβολέας έχει πρόσβαση στη συσκευή σας), ο κωδικός πρόσβασής σας θα απέβαινε μερικά κλικ μακριά. Το σφάλμα σήμαινε επίσης ότι ο Κοινωνικός Καπετάνιος θα μπορούσε πραγματικά να δει τον κωδικό σας Instagram, ο οποίος δεν πρέπει να συμβεί. Οι εφαρμογές που ενσωματώνετε στα προφίλ των κοινωνικών μέσων σας συνήθως λειτουργούν με τη βοήθεια αναγνωριστικών πρόσβασης και ενώ αποκτούν πρόσβαση σε ορισμένα τμήματα του λογαριασμού σας, τα διαπιστευτήρια σύνδεσης συνήθως παραμένουν εκτός ορίων.

Τα ευρήματα ήταν ανησυχητικά, αλλά ο ανώνυμος ερευνητής αποκάλυψε ένα άλλο σφάλμα που έκανε τα πράγματα πολύ χειρότερα.

Ένα σφάλμα κοινωνικού καπετάνιου επέτρεψε την απομάκρυνση των προσωπικών πληροφοριών των χρηστών του Instagram

Με τη σχεδίαση, η σελίδα προφίλ του κοινωνικού καπετάνιου σας θα πρέπει να είναι προσβάσιμη μόνο μετά τον έλεγχο ταυτότητας, πράγμα που σημαίνει ότι ακόμα και αν τα διαπιστευτήριά σας είναι αποθηκευμένα στην πηγή σελίδας, οι πιθανότητες μιας επίθεσης κατά την άγρια φύση είναι κάπως αδύναμες. Ο ερευνητής ανακάλυψε, ωστόσο, ότι ένα ελάττωμα τους επιτρέπει να βλέπουν τα προφίλ των κοινωνικών καπετάνιων πλήρων ξένων, χωρίς να υποθέτουν ή να θέτουν σε κίνδυνο τους κωδικούς τους.

Αντ 'αυτού, ο εμπειρογνώμονας άλλαξε απλώς το αναγνωριστικό λογαριασμού στη διεύθυνση ιστού. Αυτό θέτει αυτόματα τους λογαριασμούς Instagram των χρηστών σε κίνδυνο επειδή τα δεδομένα σύνδεσης τους αποθηκεύτηκαν στην πηγή σελίδας των σελίδων προφίλ του Social Captain. Για να χειροτερέψουν τα πράγματα, σύμφωνα με τον Whittaker, τα αναγνωριστικά λογαριασμών ήταν κατά κύριο λόγο διαδοχικά, πράγμα που άνοιξε τη δυνατότητα για μια επίθεση απαρίθμησης πόρων.

Για να το αποδείξει αυτό, ο ερευνητής ασφάλειας παρουσίασε το Whittaker με ένα υπολογιστικό φύλλο που περιέχει τις πληροφορίες περίπου 10 χιλιάδων χρηστών των κοινωνικών καπετάνιων. Για λιγότερο από τα μισά από αυτά, τα αποξεσμένα δεδομένα περιελάμβαναν τα ονόματα χρηστών και τους κωδικούς πρόσβασης του Instagram.

Ευτυχώς, φαίνεται ότι οι κυβερνοεγκληματίες δεν κατόρθωσαν να φτάσουν στον ευάλωτο χαρακτήρα του κοινωνικού καπετάνιου ενώπιον του ερευνητή ασφάλειας. Με τη βοήθεια του Whittaker, ο ειδικός αποκάλυψε την τρύπα, η οποία έχει συνδεθεί τώρα. Ο κοινωνικός καπετάνιος δήλωσε στην TechCrunch ότι διερευνά το θέμα και θα ειδοποιήσει τους δυνητικά επηρεαζόμενους χρήστες το συντομότερο δυνατόν.

Το Instagram διερευνά επίσης. Το δίκτυο κοινής χρήσης φωτογραφιών δήλωσε ότι ο ανασφαλής χειρισμός των διαπιστευτηρίων σύνδεσης των πολιτών του κοινωνικού καπετάνιου μπορεί να αποτελεί παραβίαση των όρων υπηρεσίας του. Αν και δεν υπάρχει τίποτα που να υποδηλώνει ότι το σφάλμα έχει εκμεταλλευτεί, όλοι οι χρήστες του Κοινωνικού Καπετάνιου συνιστάται να αλλάξει τους κωδικούς πρόσβασης Instagram για κάθε περίπτωση.

Όπως και για οποιονδήποτε άλλον, αυτή η ιστορία θα πρέπει να αποτελεί ακόμη μια υπενθύμιση των πιθανών συνεπειών της σύνδεσης των λογαριασμών των κοινωνικών μέσων με εφαρμογές και υπηρεσίες τρίτου μέρους.