Az egyik Social Captain hiba fenyeget Instagram-felhasználók ezreinek biztonságát

Sokak számára az Instagram a divatos szűrők és effektusok használatának módja annak bemutatására, hogy barátai milyen ízlésesek a salátákban. Mások számára azonban az Instagram kulcsszerepet játszik pénzszerzési vállalkozásukban, és gondoskodniuk kell arról, hogy hozzászólásuk minél több embert érjen el. Itt jönnek olyan szolgáltatások, mint a Szociális Kapitány.

A marketing-beszélgetés a Social Captain weboldalán a mesterséges intelligencia használatáról szól arról, hogy "megnövelje" Instagram-befolyását, de azt állíthatja, hogy a valóság egy kicsit egyértelmű. Az ötlet az, hogy a Social Captain segít a követőinek begyűjtésében, ha az Ön nevében különböző Instagram bejegyzésekkel és oldalakkal lép kapcsolatba. Kiválaszthatja a célközönséget, és Ön dönti el, hogy milyen tevékenységet végezhet a Szociális Kapitány a fiókján keresztül. Bármi legyen is a választás, a Social Captain-t csatlakoztatni kell az Ön Instagram-profiljához, és sajnos ebben az esetben a dolgok rosszra fordultak a közelmúltban.

A szociális kapitány a Instagram bejelentkezési adatait egyszerű szöveges formában fedte le

Azt kell mondani, hogy a biztonságtudatos felhasználók a kezdetektől kezdve nem élvezhetik a Social Captain alkalmazását. Az írás idején a modern böngészők figyelmeztetik, hogy a Social Captain webhelyének egyes részeit nem a HTTPS útján továbbítják, ami azt jelenti, hogy az elküldött és fogadott információk nem mindegyike rejtjelezhető. Manapság ezt nemcsak a biztonsági közösség, hanem néhány felhasználó is ráncolja. Egy biztonsági kutató, aki anonimként kíván megmaradni, nemrégiben felfedezte egy másik kérdést, amely azonban sokkal sürgetõbb.

Kapcsolatba léptek a TechCrunch Zack Whittakerjével és elmagyarázták, hogy azok az emberek, akik Instagram-fiókjukat összekapcsolták a népszerűséget fokozó szolgáltatással, a szociális kapitány profiloldaluk forráskódjában láthatták a szociális háló bejelentkezési adatait. Whittaker hozzákapcsolt egy eldobható Instagram-fiókot az újonnan létrehozott Social Captain profilhoz, és néhány perc alatt meg tudta erősíteni az eredményeket.

Alighanem azt mondani, hogy ez nem ideális. Ez azt jelentené, hogy megfelelő körülmények között (ha még nem jelentkezett be a közösségi kapitány fiókodból, és a támadó hozzáférést kap az eszközéhez), a jelszava csak néhány kattintással elérhető. A hiba azt is jelentette, hogy a Social Captain valójában láthatta a Instagram jelszavát, aminek nem kellene történnie. A közösségi média profiljaiba integrált alkalmazások általában hozzáférési jogkivonatok segítségével működnek, és bár hozzáférnek a fiók bizonyos részeire, a bejelentkezési hitelesítő adatok általában korlátlanul maradnak.

A megállapítások aggasztóak voltak, de azután a névtelen kutató újabb hibát derített fel, amely a dolgok sokkal rosszabbá tette a dolgot.

A Social Captain hibája megragadta az Instagram felhasználók személyes adatait

Tervezése szerint a Social Captain profiloldalának csak hitelesítés után kell elérhetőnek lennie, ami azt jelenti, hogy ha a hitelesítő adatait az oldal forrásában tárolják, akkor a vadon belüli támadás esélye kissé csekély. A kutató azonban felfedezte, hogy egy hiba lehetővé teszi számukra a teljes idegenek Social Captain profiljának megtekintését anélkül, hogy a jelszavaikat kitalálni vagy veszélyeztetni kellett volna.

Ehelyett a szakértő egyszerűen megváltoztatta a fiók azonosítóját a webcímben. Ez automatikusan veszélybe sodorja a felhasználók Instagram-fiókjait, mivel bejelentkezési adataikat a Social Captain profiloldalainak forrásában tárolták. A helyzet még rosszabbá tétele érdekében Whittaker szerint a számlaazonosítók többnyire szekvenciálisak voltak, és ez lehetővé tette az erőforrások felsorolására irányuló támadást.

Ennek igazolására a biztonsági kutató a Whittaker számára táblázatot mutatott be, amely körülbelül 10 ezer Social Captain felhasználó információt tartalmaz. Ezeknek csak kevesebb mint felére a lekérdezett adatok tartalmaztak Instagram felhasználóneveket és jelszavakat.

Szerencsére úgy tűnik, hogy a számítógépes bűnözőknek a biztonsági kutató előtt nem sikerült eljutniuk a Social Captain sebezhetőségéhez. Whittaker segítségével a szakértő felfedte a lyukat, amelyeket most bedugtak. A szociális kapitány azt mondta a TechCrunch-nak, hogy kivizsgálja az ügyet, és a lehető leghamarabb figyelmezteti a potenciálisan érintett felhasználókat.

Az Instagram szintén vizsgál. A fotómegosztó hálózat szerint a Social Captain nem biztonságos kezelése az emberek bejelentkezési adataival megsértheti szolgáltatási feltételeit. Bár semmi nem utal arra, hogy a hibát kihasználták, minden Social Captain felhasználónak javasoljuk, hogy minden esetre változtassa meg Instagram jelszavát.

Mint bárki másnál, a történetnek még egyszer emlékeztetnie kell a közösségi médiafiókok harmadik fél által készített alkalmazásokhoz és szolgáltatásokhoz történő csatlakoztatásának lehetséges következményeiről.