1つSocial Captainバグが数千人のInstagramユーザーのセキュリティを脅かす

Social Captaing Bug Exposes Instagram Passwords

多くの人にとって、Instagramはトレンディなフィルターとエフェクトを使用して、すべての友達にサラダの美味しさを示す方法です。しかし、他の人にとっては、Instagramは彼らの金makingけベンチャーにとって極めて重要であり、彼らの投稿ができるだけ多くの人々に届くようにする必要があります。ここで、ソーシャルキャプテンなどのサービスが登場します。

Social CaptainのWebサイトでのマーケティングでは、Instagramの影響を「有機的に」高めるために人工知能を使用することについて語っていますが、現実はもう少し簡単だと主張できます。ソーシャルキャプテンは、Instagramのさまざまな投稿やページをユーザーに代わって操作することで、フォロワーを獲得するのに役立つという考えです。ターゲットオーディエンスを選択できます。アカウントでソーシャルキャプテンが実行できるアクティビティの種類を選択するのはあなた次第です。ただし、どのような選択をしたとしても、ソーシャルキャプテンはInstagramプロフィールに接続する必要があります。残念なことに、ここで問題が発生しました。

ソーシャルキャプテンがプレーンテキストでInstagramログイン資格情報を公開

セキュリティを重視するユーザーは、最初からソーシャルキャプテンに感銘を受けていない可能性があると言わなければなりません。執筆時点で、最新のブラウザはSocial CaptainのWebサイトの一部がHTTPSを介して配信されないことを警告しています 。つまり、送受信するすべての情報が暗号化されているわけではありません。この時代には、セキュリティコミュニティだけでなく、一部のユーザーもこれを嫌っています。しかし、最近匿名のままでいるように頼んだセキュリティ研究者は、もっと差し迫った別の問題を発見しました。

彼らはTechCrunchのZack Whittakerと連絡を取り、Instagramアカウントを人気ブーストサービスに接続した人はソーシャルキャプテンプロフィールページのソースコード内でソーシャルネットワークのログイン認証情報を見ることができると説明した。 Whittakerは、使い捨てのInstagramアカウントを新しく作成されたソーシャルキャプテンプロファイルに接続し、数分以内に結果を確認しました。

これが理想的でないと言うのは控えめに言ってしまうでしょう。適切な状況(ソーシャルキャプテンアカウントからログアウトしておらず、攻撃者がデバイスにアクセスできる場合)では、パスワードは数回クリックするだけです。バグはまた、ソーシャルキャプテンが実際にあなたのInstagramのパスワードを見ることができることを意味しましたが、これは起こるはずがありません。ソーシャルメディアプロファイルと統合するアプリは、通常、アクセストークンの助けを借りて機能します。また、アカウントの特定の部分にアクセスする一方で、ログイン資格情報は通常、立ち入り禁止のままです。

調査結果は心配でしたが、匿名の研究者は事態をさらに悪化させる別のバグを明らかにしました。

ソーシャルキャプテンのバグにより、Instagramユーザーの個人情報がスクレイピングされる

設計上、Social Captainのプロフィールページは認証後にのみアクセスできるようにする必要があります。つまり、資格情報がページソースに保存されていても、インザワイルド攻撃の可能性はいくぶん少なくなります。しかし、研究者は、欠陥があるため、パスワードを推測したり危殆化することなく、見知らぬ人のソーシャルキャプテンプロファイルを表示できることを発見しました。

代わりに、専門家は単にWebアドレスのアカウントIDを変更しました。ログインデータはSocial Captainのプロファイルページのページソースに保存されていたため、これにより自動的にユーザーのInstagramアカウントが危険にさらされます。さらに悪いことに、Whittakerによると、アカウントIDはほとんど連続しており、リソース列挙攻撃の可能性が開かれました。

これを証明するために、セキュリティ研究者は約1万人のソーシャルキャプテンユーザーの情報を含むスプレッドシートをWhittakerに提示しました。それらの半分未満については、スクラッチされたデータにはInstagramのユーザー名とパスワードが含まれていました。

幸いなことに、サイバー犯罪者は、セキュリティ研究者の前にソーシャルキャプテンの脆弱性に到達することができなかったようです。 Whittakerの助けを借りて、専門家は穴を開示しましたが、現在は塞がれています。 Social CaptainはTechCrunchに、問題を調査中であり、影響を受ける可能性のあるユーザーにできるだけ早く警告することを伝えました。

Instagramも調査中です。写真共有ネットワークは、ソーシャルキャプテンの人々のログイン資格情報の安全でない処理は、その利用規約に違反する可能性があると述べました。バグが悪用されたことを示唆するものは何もありませんが、すべてのソーシャルキャプテンユーザーは念のためInstagramパスワードを変更することをお勧めします。

他の人については、この話は、ソーシャルメディアアカウントをサードパーティのアプリやサービスに接続することの潜在的な影響をさらに思い出させるものでなければなりません。

Duran
February 4, 2020
News
日本語
February 4, 2020
News

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

4 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。