Viena socialinio tinklo kapitono klaida kelia grėsmę tūkstančių „Instagram“ vartotojų saugumui

Social Captaing Bug Exposes Instagram Passwords

Daugeliui „Instagram“ yra būdas naudoti madingus filtrus ir efektus, norint parodyti visiems savo draugams, kokios skanios yra jūsų salotos. Tačiau kitiems „Instagram“ yra esminis dalykas siekiant uždirbti pinigų, todėl jie turi užtikrinti, kad jų įrašai pasiektų kuo daugiau žmonių. Čia ateina tokios paslaugos kaip „Socialinis kapitonas“.

Rinkodaros kalba „Social Captain“ tinklalapyje pasakoja apie dirbtinio intelekto naudojimą „organiškai“ auginant savo „Instagram“ įtaką, tačiau galima teigti, kad realybė yra šiek tiek tiesesnė. Idėja yra ta, kad socialinis kapitonas padeda jums įgyti pasekėjų, sąveikaudamas su įvairiais „Instagram“ įrašais ir puslapiais jūsų vardu. Galite pasirinkti savo tikslinę auditoriją, o jūs patys turite pasirinkti, kokią veiklą socialiniam kapitonui leidžiama atlikti per jūsų sąskaitą. Kad ir kokį jūsų pasirinkimą bebūtų, „Social Captain“ reikia prijungti prie jūsų „Instagram“ profilio, ir, deja, neseniai čia viskas nutiko.

Socialinis kapitonas paviešino „Instagram“ prisijungimo duomenis paprastu tekstu

Reikia pasakyti, kad sąmoningi vartotojai, turintys saugumo jausmą, nuo pat pradžių gali būti nesąmoningi su „Social Captain“. Rašydami šiuolaikinės naršyklės perspėja, kad „Social Captain“ tinklalapio dalys nėra pristatomos per HTTPS, tai reiškia, kad ne visa jūsų siunčiama ir gaunama informacija yra užšifruota. Šiais laikais tai supranta ne tik saugumo bendruomenė, bet ir kai kurie vartotojai. Saugumo tyrėjas, kuris paprašė likti anonimu, neseniai atrado kitą, vis dėlto daug aktualesnę problemą.

Jie susisiekė su „TechCrunch“ Zacku Whittakeriu ir paaiškino, kad žmonės, sujungę savo „Instagram“ paskyras prie populiarumo didinimo paslaugos, savo socialinio tinklo prisijungimo duomenis galėjo pamatyti savo „Social Captain“ profilio puslapio šaltinio kode. Whittakeris pasikabino „Instagram“ paskyrą prie naujai sukurto „Social Captain“ profilio ir per kelias minutes sugebėjo patvirtinti išvadas.

Sakyti, kad tai nėra idealu, būtų per mažai. Tai reikštų, kad esant tinkamoms aplinkybėms (jūs neprisijungėte iš savo „Social Captain“ paskyros ir užpuolikas gauna prieigą prie jūsų prietaiso), jūsų slaptažodis bus vos už kelių paspaudimų. Tai taip pat reiškė, kad socialinis kapitonas iš tikrųjų galėjo pamatyti jūsų „Instagram“ slaptažodį, kuris neturėtų įvykti. Programos, kurias integruojate į savo socialinės žiniasklaidos profilius, paprastai veikia naudodamiesi prieigos žetonais, ir nors jie gauna prieigą prie tam tikrų jūsų paskyros dalių, prisijungimo kredencialai paprastai netaikomi.

Rezultatai kėlė nerimą, tačiau anonimas tyrinėtojas atskleidė dar vieną klaidą, dėl kurios viskas tapo dar blogiau.

Socialinio kapitono klaida leido nugramdyti „Instagram“ vartotojų asmeninę informaciją

Suprojektuotas „Social Captain“ profilio puslapis turėtų būti pasiekiamas tik po autentifikavimo - tai reiškia, kad net jei jūsų kredencialai yra saugomi puslapio šaltinyje, tikimybė įvykti laukiniams išpuoliams yra nedidelė. Tačiau tyrėjas išsiaiškino, kad trūkumas leidžia jiems peržiūrėti visiškai nepažįstamų žmonių „Social Captain“ profilius, neatspėjus ar nepažeidžiant jų slaptažodžių.

Vietoj to, ekspertas tiesiog pakeitė sąskaitos ID žiniatinklio adresą. Tai automatiškai kelia pavojų vartotojų „Instagram“ paskyroms, nes jų prisijungimo duomenys buvo saugomi „Social Captain“ profilio puslapių šaltinyje. Kad būtų dar blogiau, pasak Whittaker, sąskaitos ID dažniausiai buvo nuoseklios, o tai atvėrė galimybę išteklius išvardyti.

Norėdami tai įrodyti, saugumo tyrėjas pateikė „Whittaker“ skaičiuoklę, kurioje buvo apie 10 tūkst. „Social Captain“ vartotojų. Į iškarpytus duomenis buvo įtraukta tik „Instagram“ vartotojo vardai ir slaptažodžiai.

Laimei, atrodo, kad kibernetiniams nusikaltėliams nepavyko patekti į „Social Captain“ pažeidžiamumą prieš saugumo tyrėją. Padedamas „Whittaker“, ekspertas atskleidė skylę, kuri dabar uždaryta. Socialinis kapitonas sakė „TechCrunch“, kad tiria šį reikalą ir kuo greičiau įspės apie galimai paveiktus vartotojus.

„Instagram“ taip pat tiria. Nuotraukų dalijimosi tinklas teigė, kad nesaugus „Social Captain“ elgesys su žmonių prisijungimo duomenimis gali būti jo paslaugų sąlygų pažeidimas. Nors niekas nerodo, kad klaida buvo išnaudota, visiems „Social Captain“ vartotojams patariama kiekvieną kartą pakeisti „Instagram“ slaptažodžius.

Kaip ir niekam kitam, ši istorija turėtų būti dar vienas priminimas apie galimus padarinius, susijusius su socialinės žiniasklaidos paskyrų prijungimu prie trečiųjų šalių programų ir paslaugų.

February 4, 2020
Įkeliama ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.