Un bug del Social Captain minaccia la sicurezza di migliaia di utenti di Instagram

Per molti, Instagram è un modo di utilizzare filtri ed effetti alla moda per mostrare a tutti i tuoi amici quanto è gustosa la tua insalata. Per altri, tuttavia, Instagram è fondamentale per la loro impresa di fare soldi e devono assicurarsi che i loro post raggiungano il maggior numero di persone possibile. Qui entrano in gioco servizi come il Capitano sociale.

Il marketing parla sul sito Web di Social Captain parla dell'utilizzo dell'intelligenza artificiale per far crescere "organicamente" la tua influenza su Instagram, ma potresti sostenere che la realtà è un po 'più semplice. L'idea è che Social Captain ti aiuti a guadagnare follower interagendo con vari post e pagine di Instagram per tuo conto. Puoi scegliere il tuo pubblico di destinazione, e spetta a te scegliere quale tipo di attività è consentito a Social Captain di eseguire tramite il tuo account. Qualunque sia la tua scelta, tuttavia, Social Captain deve essere collegato al tuo profilo Instagram e, sfortunatamente, è qui che le cose sono andate male di recente.

Social Captain ha esposto le credenziali di accesso a Instagram in testo semplice

Va detto che gli utenti attenti alla sicurezza potrebbero non essere impressionati con Social Captain fin dall'inizio. Al momento della stesura, i browser moderni avvertono che parti del sito Web di Social Captain non vengono consegnate tramite HTTPS, il che significa che non tutte le informazioni inviate e ricevute sono crittografate. Al giorno d'oggi, ciò è disapprovato non solo dalla comunità della sicurezza, ma anche da alcuni utenti. Un ricercatore di sicurezza che ha chiesto di rimanere anonimo recentemente ha scoperto un altro problema che era molto più urgente, però.

Si sono messi in contatto con Zack Whittaker di TechCrunch e hanno spiegato che le persone che avevano collegato i loro account Instagram al servizio di potenziamento della popolarità potevano vedere le loro credenziali di accesso al social network all'interno del codice sorgente della pagina del loro profilo di Social Captain. Whittaker ha collegato un account Instagram usa e getta a un profilo di Social Captain appena creato e è riuscito a confermare i risultati in pochi minuti.

Dire che questo non è l'ideale sarebbe un eufemismo. Significherebbe che nelle giuste circostanze (non hai effettuato il logout dal tuo account Social Captain e un utente malintenzionato ha accesso al tuo dispositivo), la tua password sarebbe a solo un paio di clic di distanza. Il bug significava anche che Social Captain poteva effettivamente vedere la tua password Instagram, cosa che non dovrebbe succedere. Le app che integri con i tuoi profili sui social media di solito funzionano con l'aiuto di token di accesso e mentre ottengono l'accesso a determinate parti del tuo account, le credenziali di accesso rimangono normalmente vietate.

I risultati erano preoccupanti, ma poi il ricercatore anonimo ha rivelato un altro bug che ha peggiorato le cose.

Un bug di Social Captain ha permesso di cancellare le informazioni personali degli utenti di Instagram

In base alla progettazione, la pagina del tuo profilo di Social Captain dovrebbe essere accessibile solo dopo l'autenticazione, il che significa che anche se le tue credenziali sono archiviate nell'origine della pagina, le possibilità di un attacco in natura sono piuttosto scarse. Il ricercatore ha scoperto, tuttavia, che un difetto consente loro di visualizzare i profili del Capitano Sociale di estranei completi senza indovinare o compromettere le loro password.

Invece, l'esperto ha semplicemente cambiato l'ID account nell'indirizzo web. Ciò mette automaticamente a rischio gli account Instagram degli utenti perché i loro dati di accesso sono stati archiviati nella fonte della pagina delle pagine del profilo di Social Captain. A peggiorare le cose, secondo Whittaker, gli ID account erano per lo più sequenziali, il che ha aperto la possibilità di un attacco di enumerazione delle risorse.

Per dimostrarlo, il ricercatore di sicurezza ha presentato a Whittaker un foglio di calcolo contenente le informazioni di circa 10 mila utenti di Social Captain. Per poco meno della metà, i dati raccolti includevano nomi utente e password Instagram.

Fortunatamente, sembra che i criminali informatici non siano riusciti a raggiungere la vulnerabilità del Capitano sociale prima del ricercatore di sicurezza. Con l'aiuto di Whittaker, l'esperto ha rivelato il buco, che ora è stato inserito. Social Captain ha dichiarato a TechCrunch che sta indagando sulla questione e avviserà gli utenti potenzialmente interessati il prima possibile.

Anche Instagram sta indagando. La rete di condivisione di foto ha affermato che la gestione non sicura delle credenziali di accesso delle persone da parte di Social Captain potrebbe costituire una violazione dei suoi termini di servizio. Anche se non c'è nulla che suggerisca che il bug sia stato sfruttato, a tutti gli utenti di Social Captain viene consigliato di cambiare le password di Instagram per ogni evenienza.

Come per chiunque altro, questa storia dovrebbe essere ancora un altro promemoria delle potenziali implicazioni del collegamento di account di social media con app e servizi di terze parti.