Eén Social Captain Bug bedreigt de beveiliging van duizenden Instagram-gebruikers

Social Captaing Bug Exposes Instagram Passwords

Voor velen is Instagram een manier om trendy filters en effecten te gebruiken om al je vrienden te laten zien hoe lekker je salade is. Voor anderen is Instagram echter cruciaal voor hun geldverwerkende onderneming en moeten ze ervoor zorgen dat hun berichten zoveel mogelijk mensen bereiken. Dit is waar diensten zoals Social Captain binnenkomen.

De marketing spreekt op de website van Social Captain over kunstmatige intelligentie om je Instagram-invloed "organisch" te laten groeien, maar je zou kunnen beweren dat de realiteit een beetje eenvoudiger is. Het idee is dat Social Captain je helpt volgers te krijgen door namens jou te communiceren met verschillende Instagram-berichten en -pagina's. U kunt uw doelgroep kiezen en het is aan u om te kiezen welke activiteit Social Captain via uw account mag uitvoeren. Wat je keuze ook is, Social Captain moet verbonden zijn met je Instagram-profiel, en helaas is dit de laatste tijd misgegaan.

Social Captain heeft Instagram-inloggegevens in platte tekst weergegeven

Het moet gezegd worden dat veiligheidsbewuste gebruikers vanaf het begin niet onder de indruk zouden zijn van Social Captain. Op het moment van schrijven waarschuwen moderne browsers dat delen van de website van Social Captain niet via HTTPS worden geleverd, wat betekent dat niet alle informatie die u verzendt en ontvangt gecodeerd is. Tegenwoordig wordt dit niet alleen afgekeurd door de beveiligingsgemeenschap, maar ook door sommige gebruikers. Een beveiligingsonderzoeker die vroeg om anoniem te blijven, ontdekte onlangs echter een ander probleem dat veel dringender was.

Ze namen contact op met Zack Whittaker van TechCrunch en legden uit dat mensen die hun Instagram-accounts hadden verbonden met de service voor het verhogen van de populariteit, hun inloggegevens voor sociale netwerken konden zien in de broncode van hun Social Captain-profielpagina. Whittaker koppelde een wegwerp Instagram-account aan een nieuw aangemaakt Social Captain-profiel en slaagde erin om de bevindingen binnen enkele minuten te bevestigen.

Zeggen dat dit niet ideaal is, zou een understatement zijn. Het zou betekenen dat onder de juiste omstandigheden (u bent niet uitgelogd bij uw Social Captain-account en een aanvaller krijgt toegang tot uw apparaat), uw wachtwoord slechts een paar klikken verwijderd is. De bug betekende ook dat Social Captain je Instagram-wachtwoord kon zien, wat niet zou moeten gebeuren. Apps die u integreert met uw sociale mediaprofielen werken meestal met behulp van toegangstokens, en hoewel ze toegang krijgen tot bepaalde delen van uw account, blijven inloggegevens normaal gesproken verboden.

De bevindingen waren verontrustend, maar toen onthulde de anonieme onderzoeker nog een bug die de zaken een stuk slechter maakte.

Een Social Captain-bug maakte het mogelijk persoonlijke gegevens van Instagram-gebruikers te schrapen

Het ontwerp van uw Social Captain-profielpagina is alleen toegankelijk na authenticatie, wat betekent dat zelfs als uw inloggegevens zijn opgeslagen in de paginabron, de kansen op een in-the-wild-aanval enigszins klein zijn. De onderzoeker ontdekte echter dat een fout hen in staat stelt om de Social Captain-profielen van complete vreemden te bekijken zonder hun wachtwoorden te raden of in gevaar te brengen.

In plaats daarvan heeft de expert eenvoudig de account-ID in het webadres gewijzigd. Dit brengt automatisch de Instagram-accounts van gebruikers in gevaar omdat hun inloggegevens zijn opgeslagen in de paginabron van de profielpagina's van Social Captain. Tot overmaat van ramp waren account-ID's volgens Whittaker meestal opeenvolgend, wat de mogelijkheid opende voor een aanval op het inventariseren van bronnen.

Om dit te bewijzen, presenteerde de beveiligingsonderzoeker Whittaker een spreadsheet met de informatie van ongeveer 10.000 gebruikers van Social Captain. Voor iets minder dan de helft omvatten de geschraapte gegevens Instagram-gebruikersnamen en wachtwoorden.

Gelukkig lijkt het erop dat cybercriminelen de kwetsbaarheid van Social Captain niet hebben weten te bereiken voor de beveiligingsonderzoeker. Met behulp van Whittaker heeft de expert het gat onthuld, dat nu is aangesloten. Social Captain vertelde TechCrunch dat het de kwestie onderzoekt en mogelijk getroffen gebruikers zo snel mogelijk zal waarschuwen.

Instagram onderzoekt ook. Het netwerk voor het delen van foto's zei dat de onveilige manier waarop Social Captain omgaat met de inloggegevens van mensen een schending van de servicevoorwaarden zou kunnen zijn. Hoewel er niets is dat erop wijst dat de bug is misbruikt, wordt alle gebruikers van Social Captain geadviseerd om hun Instagram-wachtwoord te wijzigen voor het geval dat.

Wat betreft iedereen, dit verhaal zou nog een herinnering moeten zijn aan de mogelijke implicaties van het verbinden van sociale media-accounts met apps en diensten van derden.

Tegen Duran
February 4, 2020
News
Nederlands
February 4, 2020
News

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

11 days geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

18 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.