En Social Captain feil truer sikkerheten til tusenvis av Instagram-brukere

For mange er Instagram en måte å bruke trendy filtre og effekter på for å vise alle vennene dine hvor velsmakende salaten din er. For andre er Instagram imidlertid sentralt for deres pengegående satsing, og de må sørge for at innleggene deres når så mange mennesker som mulig. Det er her tjenester som Social Captain kommer inn.

Markedsføringen snakker på Social Captain's nettsted og snakker om å bruke kunstig intelligens for å "organisk" øke Instagram-påvirkningen din, men du kan hevde at virkeligheten er litt mer oversiktlig. Tanken er at Social Captain hjelper deg å få følgere ved å samhandle med forskjellige Instagram-innlegg og sider på dine vegne. Du kan velge din målgruppe, og det er opp til deg å velge hva slags aktivitet Social Captain har lov til å utføre gjennom kontoen din. Uansett hva du velger, trenger imidlertid Social Captain være koblet til Instagram-profilen din, og dessverre er det her ting gikk galt nylig.

Social Captain utsatte innloggingsinformasjon på Instagram i ren tekst

Det må sies at sikkerhetsbevisste brukere kan være lite imponert over Social Captain helt fra starten. I skrivende stund advarer moderne nettlesere om at deler av nettstedet til Social Captain ikke blir levert via HTTPS, noe som betyr at ikke all informasjonen du sender og mottar er kryptert. I dag og dag blir dette ikke bare ryddet av sikkerhetssamfunnet, men også av noen brukere. En sikkerhetsforsker som ba om å være anonym, oppdaget nylig en annen sak som var mye mer presserende.

De kom i kontakt med TechCrunchs Zack Whittaker og forklarte at folk som hadde koblet Instagram-kontoene sine til den popularitetsøkende tjenesten, kunne se påloggingsinformasjonen for det sosiale nettverket i kildekoden til profilsiden for Social Captain. Whittaker koblet en kastet Instagram-konto til en nyopprettet Social Captain-profil og klarte å bekrefte funnene i løpet av få minutter.

Å si at dette ikke er ideelt ville være en underdrivelse. Det vil bety at under riktige omstendigheter (du ikke har logget ut av Social Captain-kontoen din, og en angriper får tilgang til enheten din), vil passordet ditt bare være et par klikk unna. Feilen betydde også at Social Captain faktisk kunne se Instagram-passordet ditt, som ikke antas å skje. Apper som du integrerer med sosiale medier-profiler, fungerer vanligvis ved hjelp av tilgangstegn, og selv om de får tilgang til visse deler av kontoen din, forblir innloggingsinformasjonen normalt utenfor grensen.

Funnene var bekymringsfulle, men da avslørte den anonyme forskeren en annen feil som gjorde ting mye verre.

En sosial kaptein-feil tillot skraping av Instagram-brukernes personlige opplysninger

Ved design skal Social Captain-profilsiden din bare være tilgjengelig etter autentisering, noe som betyr at selv om legitimasjonsopplysningene dine er lagret i sidekilden, er sjansen for et angrep i naturen noe slank. Forskeren oppdaget imidlertid at en feil gjør at de kan se de sosiale kapteinprofilene til komplette fremmede uten å gjette eller kompromittere passordene deres.

I stedet endret eksperten konto-IDen i nettadressen. Dette setter brukernes Instagram-kontoer automatisk i fare fordi innloggingsdataene deres ble lagret i sidekilden til Social Captain's profilsider. For å gjøre vondt verre, ifølge Whittaker, var konto-ID-ene stort sett sekvensielle, noe som åpnet muligheten for et ressursoppregningsangrep.

For å bevise dette presenterte sikkerhetsforskeren Whittaker et regneark som inneholder informasjonen til rundt 10 000 brukere av Social Captain. For i underkant av halvparten av dem inkluderte de skrapede dataene Instagram brukernavn og passord.

Heldigvis ser det ut som cyberkriminelle ikke klarte å komme til Social Captain's sårbarhet før sikkerhetsforskeren. Ved hjelp av Whittaker røpet eksperten hullet, som nå er plugget til. Social Captain sa til TechCrunch at den undersøker saken og vil varsle potensielt berørte brukere så snart som mulig.

Instagram etterforsker også. Bildedelingsnettverket sa at Social Captains usikre håndtering av folks påloggingsinformasjon kan være et brudd på tjenestevilkårene. Selv om det ikke er noe som tyder på at feilen har blitt utnyttet, anbefales alle brukere av Social Captain å endre Instagram-passordene sine for tilfelle.

Når det gjelder noen andre, bør denne historien være nok en påminnelse om de potensielle implikasjonene av å koble sosiale mediekontoer til tredjepartsapper og -tjenester.