Un bug de Social Captain menace la sécurité de milliers d'utilisateurs d'Instagram

Pour beaucoup, Instagram est un moyen d'utiliser des filtres et des effets à la mode pour montrer à tous vos amis à quel point votre salade est savoureuse. Pour d'autres, cependant, Instagram est essentiel à leur entreprise lucrative, et ils doivent s'assurer que leurs publications atteignent autant de personnes que possible. C'est là qu'interviennent des services comme Social Captain.

Le discours marketing sur le site Web de Social Captain parle de l'utilisation de l'intelligence artificielle pour accroître "organiquement" votre influence Instagram, mais vous pourriez affirmer que la réalité est un peu plus simple. L'idée est que Social Captain vous aide à gagner des abonnés en interagissant avec diverses publications et pages Instagram en votre nom. Vous pouvez choisir votre public cible, et c'est à vous de choisir quel type d'activité Social Captain est autorisé à effectuer via votre compte. Quel que soit votre choix, cependant, Social Captain doit être connecté à votre profil Instagram, et malheureusement, c'est là que les choses ont mal tourné récemment.

Social Captain a dévoilé ses identifiants de connexion Instagram en texte brut

Il faut dire que les utilisateurs soucieux de la sécurité peuvent ne pas être impressionnés par Social Captain dès le départ. Au moment de la rédaction du présent document, les navigateurs modernes avertissent que certaines parties du site Web de Social Captain ne sont pas livrées via HTTPS, ce qui signifie que toutes les informations que vous envoyez et recevez ne sont pas cryptées. De nos jours, cela est mal vu non seulement par la communauté de la sécurité mais aussi par certains utilisateurs. Un chercheur en sécurité qui a demandé à rester anonyme a récemment découvert un autre problème beaucoup plus urgent.

Ils ont contacté Zack Whittaker de TechCrunch et ont expliqué que les personnes qui avaient connecté leurs comptes Instagram au service de renforcement de la popularité pouvaient voir leurs identifiants de connexion au réseau social dans le code source de leur page de profil Social Captain. Whittaker a connecté un compte Instagram jetable à un nouveau profil de capitaine social et a réussi à confirmer les résultats en quelques minutes.

Dire que ce n'est pas idéal serait un euphémisme. Cela signifierait que dans les bonnes circonstances (vous ne vous êtes pas déconnecté de votre compte Social Captain et qu'un attaquant a accès à votre appareil), votre mot de passe ne serait qu'à quelques clics. Le bug signifiait également que Social Captain pouvait réellement voir votre mot de passe Instagram, ce qui n'est pas censé se produire. Les applications que vous intégrez à vos profils de réseaux sociaux fonctionnent généralement à l'aide de jetons d'accès, et bien qu'elles aient accès à certaines parties de votre compte, les informations de connexion restent normalement interdites.

Les résultats étaient inquiétants, mais le chercheur anonyme a révélé un autre bug qui a aggravé la situation.

Un bug de Social Captain a permis de supprimer les informations personnelles des utilisateurs d'Instagram

De par sa conception, votre page de profil Social Captain ne devrait être accessible qu'après l'authentification, ce qui signifie que même si vos informations d'identification sont stockées dans la source de la page, les chances d'une attaque dans la nature sont quelque peu minces. Le chercheur a découvert, cependant, qu'une faille leur permet de visualiser les profils de capitaine social de parfaits inconnus sans deviner ou compromettre leurs mots de passe.

Au lieu de cela, l'expert a simplement changé l'ID de compte dans l'adresse Web. Cela met automatiquement les comptes Instagram des utilisateurs en danger car leurs données de connexion ont été stockées dans la source de page des pages de profil de Social Captain. Pour aggraver les choses, selon Whittaker, les identifiants de compte étaient principalement séquentiels, ce qui ouvrait la possibilité d'une attaque d'énumération des ressources.

Pour le prouver, le chercheur en sécurité a présenté à Whittaker une feuille de calcul contenant les informations d'environ 10 000 utilisateurs de Social Captain. Pour un peu moins de la moitié d'entre eux, les données récupérées comprenaient des noms d'utilisateur et des mots de passe Instagram.

Heureusement, il semble que les cybercriminels n'aient pas réussi à atteindre la vulnérabilité de Social Captain avant le chercheur en sécurité. Avec l'aide de Whittaker, l'expert a révélé le trou, qui a maintenant été bouché. Social Captain a déclaré à TechCrunch qu'il enquêtait sur la question et alerterait les utilisateurs potentiellement affectés dès que possible.

Instagram enquête également. Le réseau de partage de photos a déclaré que le traitement non sécurisé de Social Captain des informations de connexion des personnes pourrait constituer une violation de ses conditions de service. Bien que rien ne suggère que le bogue a été exploité, tous les utilisateurs de Social Captain sont invités à modifier leurs mots de passe Instagram au cas où.

Comme pour n'importe qui d'autre, cette histoire devrait être un autre rappel des implications potentielles de la connexion de comptes de médias sociaux à des applications et services tiers.