1つSocial Captainバグが数千人のInstagramユーザーのセキュリティを脅かす
多くの人にとって、Instagramはトレンディなフィルターとエフェクトを使用して、すべての友達にサラダの美味しさを示す方法です。しかし、他の人にとっては、Instagramは彼らの金makingけベンチャーにとって極めて重要であり、彼らの投稿ができるだけ多くの人々に届くようにする必要があります。ここで、ソーシャルキャプテンなどのサービスが登場します。
Social CaptainのWebサイトでのマーケティングでは、Instagramの影響を「有機的に」高めるために人工知能を使用することについて語っていますが、現実はもう少し簡単だと主張できます。ソーシャルキャプテンは、Instagramのさまざまな投稿やページをユーザーに代わって操作することで、フォロワーを獲得するのに役立つという考えです。ターゲットオーディエンスを選択できます。アカウントでソーシャルキャプテンが実行できるアクティビティの種類を選択するのはあなた次第です。ただし、どのような選択をしたとしても、ソーシャルキャプテンはInstagramプロフィールに接続する必要があります。残念なことに、ここで問題が発生しました。
ソーシャルキャプテンがプレーンテキストでInstagramログイン資格情報を公開
セキュリティを重視するユーザーは、最初からソーシャルキャプテンに感銘を受けていない可能性があると言わなければなりません。執筆時点で、最新のブラウザはSocial CaptainのWebサイトの一部がHTTPSを介して配信されないことを警告しています 。つまり、送受信するすべての情報が暗号化されているわけではありません。この時代には、セキュリティコミュニティだけでなく、一部のユーザーもこれを嫌っています。しかし、最近匿名のままでいるように頼んだセキュリティ研究者は、もっと差し迫った別の問題を発見しました。
彼らはTechCrunchのZack Whittakerと連絡を取り、Instagramアカウントを人気ブーストサービスに接続した人はソーシャルキャプテンプロフィールページのソースコード内でソーシャルネットワークのログイン認証情報を見ることができると説明した。 Whittakerは、使い捨てのInstagramアカウントを新しく作成されたソーシャルキャプテンプロファイルに接続し、数分以内に結果を確認しました。
これが理想的でないと言うのは控えめに言ってしまうでしょう。適切な状況(ソーシャルキャプテンアカウントからログアウトしておらず、攻撃者がデバイスにアクセスできる場合)では、パスワードは数回クリックするだけです。バグはまた、ソーシャルキャプテンが実際にあなたのInstagramのパスワードを見ることができることを意味しましたが、これは起こるはずがありません。ソーシャルメディアプロファイルと統合するアプリは、通常、アクセストークンの助けを借りて機能します。また、アカウントの特定の部分にアクセスする一方で、ログイン資格情報は通常、立ち入り禁止のままです。
調査結果は心配でしたが、匿名の研究者は事態をさらに悪化させる別のバグを明らかにしました。
ソーシャルキャプテンのバグにより、Instagramユーザーの個人情報がスクレイピングされる
設計上、Social Captainのプロフィールページは認証後にのみアクセスできるようにする必要があります。つまり、資格情報がページソースに保存されていても、インザワイルド攻撃の可能性はいくぶん少なくなります。しかし、研究者は、欠陥があるため、パスワードを推測したり危殆化することなく、見知らぬ人のソーシャルキャプテンプロファイルを表示できることを発見しました。
代わりに、専門家は単にWebアドレスのアカウントIDを変更しました。ログインデータはSocial Captainのプロファイルページのページソースに保存されていたため、これにより自動的にユーザーのInstagramアカウントが危険にさらされます。さらに悪いことに、Whittakerによると、アカウントIDはほとんど連続しており、リソース列挙攻撃の可能性が開かれました。
これを証明するために、セキュリティ研究者は約1万人のソーシャルキャプテンユーザーの情報を含むスプレッドシートをWhittakerに提示しました。それらの半分未満については、スクラッチされたデータにはInstagramのユーザー名とパスワードが含まれていました。
幸いなことに、サイバー犯罪者は、セキュリティ研究者の前にソーシャルキャプテンの脆弱性に到達することができなかったようです。 Whittakerの助けを借りて、専門家は穴を開示しましたが、現在は塞がれています。 Social CaptainはTechCrunchに、問題を調査中であり、影響を受ける可能性のあるユーザーにできるだけ早く警告することを伝えました。
Instagramも調査中です。写真共有ネットワークは、ソーシャルキャプテンの人々のログイン資格情報の安全でない処理は、その利用規約に違反する可能性があると述べました。バグが悪用されたことを示唆するものは何もありませんが、すべてのソーシャルキャプテンユーザーは念のためInstagramパスワードを変更することをお勧めします。
他の人については、この話は、ソーシャルメディアアカウントをサードパーティのアプリやサービスに接続することの潜在的な影響をさらに思い出させるものでなければなりません。