Uno Social Captain error amenaza la seguridad de miles de usuarios de Instagram

Social Captaing Bug Exposes Instagram Passwords

Para muchos, Instagram es una forma de usar filtros y efectos modernos para mostrar a todos tus amigos lo sabrosa que es tu ensalada. Para otros, sin embargo, Instagram es fundamental para su empresa de hacer dinero, y deben asegurarse de que sus publicaciones lleguen a la mayor cantidad de personas posible. Aquí es donde entran en juego servicios como Social Captain.

El discurso de marketing en el sitio web de Social Captain habla sobre el uso de la inteligencia artificial para aumentar "orgánicamente" su influencia en Instagram, pero podría argumentar que la realidad es un poco más directa. La idea es que Social Captain te ayude a ganar seguidores al interactuar con varias publicaciones y páginas de Instagram en tu nombre. Puede elegir su público objetivo, y depende de usted elegir qué tipo de actividad puede realizar Social Captain a través de su cuenta. Sin embargo, sea cual sea su elección, Social Captain debe estar conectado a su perfil de Instagram, y desafortunadamente, aquí es donde las cosas salieron mal recientemente.

Social Captain expuso las credenciales de inicio de sesión de Instagram en texto sin formato

Hay que decir que los usuarios conscientes de la seguridad pueden no sentirse impresionados con Social Captain desde el principio. Al momento de escribir, los navegadores modernos advierten que partes del sitio web de Social Captain no se entregan a través de HTTPS, lo que significa que no toda la información que envía y recibe está encriptada. En la actualidad, esto no está mal visto por la comunidad de seguridad sino también por algunos usuarios. Sin embargo, un investigador de seguridad que pidió permanecer en el anonimato descubrió recientemente otro problema que era mucho más apremiante.

Se pusieron en contacto con Zack Whittaker de TechCrunch y explicaron que las personas que habían conectado sus cuentas de Instagram al servicio de aumento de popularidad podían ver sus credenciales de inicio de sesión en la red social dentro del código fuente de su página de perfil de Social Captain. Whittaker conectó una cuenta de Instagram desechable a un perfil recién creado de Social Captain y logró confirmar los hallazgos en cuestión de minutos.

Decir que esto no es ideal sería quedarse corto. Significaría que, en las circunstancias correctas (no ha cerrado la sesión de su cuenta de Social Captain y un atacante obtiene acceso a su dispositivo), su contraseña estará a solo un par de clics de distancia. El error también significaba que Social Captain podía ver tu contraseña de Instagram, lo que no se supone que suceda. Las aplicaciones que integre con sus perfiles de redes sociales generalmente funcionan con la ayuda de tokens de acceso, y si bien obtienen acceso a ciertas partes de su cuenta, las credenciales de inicio de sesión normalmente permanecen fuera de los límites.

Los hallazgos fueron preocupantes, pero luego el investigador anónimo reveló otro error que empeoró las cosas.

Un error de Social Captain permitió raspar la información personal de los usuarios de Instagram

Por diseño, su página de perfil de Social Captain solo debe ser accesible después de la autenticación, lo que significa que incluso si sus credenciales se almacenan en la fuente de la página, las posibilidades de un ataque en la naturaleza son algo escasas. Sin embargo, el investigador descubrió que una falla les permite ver los perfiles de Social Captain de completos extraños sin adivinar o comprometer sus contraseñas.

En cambio, el experto simplemente cambió la ID de la cuenta en la dirección web. Esto pone automáticamente en riesgo las cuentas de Instagram de los usuarios porque sus datos de inicio de sesión se almacenaron en la fuente de la página de las páginas de perfil de Social Captain. Para empeorar las cosas, según Whittaker, las identificaciones de las cuentas eran principalmente secuenciales, lo que abrió la posibilidad de un ataque de enumeración de recursos.

Para probar esto, el investigador de seguridad le presentó a Whittaker una hoja de cálculo que contenía la información de aproximadamente 10 mil usuarios de Social Captain. Para poco menos de la mitad de ellos, los datos raspados incluían nombres de usuario y contraseñas de Instagram.

Afortunadamente, parece que los cibercriminales no lograron llegar a la vulnerabilidad de Social Captain ante el investigador de seguridad. Con la ayuda de Whittaker, el experto reveló el agujero, que ahora ha sido tapado. Social Captain le dijo a TechCrunch que está investigando el asunto y alertará a los usuarios potencialmente afectados lo antes posible.

Instagram también está investigando. La red para compartir fotos dijo que el manejo inseguro de Social Captain de las credenciales de inicio de sesión de las personas podría ser una violación de sus términos de servicio. Aunque no hay nada que sugiera que el error ha sido explotado, se recomienda a todos los usuarios de Social Captain que cambien sus contraseñas de Instagram por si acaso.

Como para cualquier otra persona, esta historia debería ser otro recordatorio de las posibles implicaciones de conectar cuentas de redes sociales a aplicaciones y servicios de terceros.

En Duran
February 4, 2020
News
Spanish
February 4, 2020
News

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.