Jeden błąd Social Captain zagraża bezpieczeństwu tysięcy użytkowników Instagrama

Dla wielu osób Instagram to sposób na użycie modnych filtrów i efektów, aby pokazać wszystkim znajomym, jak smaczna jest twoja sałatka. Dla innych jednak Instagram ma kluczowe znaczenie dla ich zarabiania pieniędzy i muszą upewnić się, że ich posty docierają do jak największej liczby osób. To tutaj przychodzą serwisy takie jak Social Captain.

Przemówienie marketingowe na stronie Social Captain mówi o wykorzystywaniu sztucznej inteligencji do „organicznego” zwiększania wpływu na Instagram, ale można argumentować, że rzeczywistość jest nieco prostsza. Chodzi o to, że Social Captain pomaga zdobywać obserwujących, wchodząc w interakcje z różnymi postami i stronami na Instagramie w Twoim imieniu. Możesz wybrać docelową grupę docelową i od Ciebie zależy, jaki rodzaj działalności może wykonywać Social Captain za pośrednictwem twojego konta. Niezależnie od tego, co wybierzesz, Social Captain musi być połączony z Twoim profilem na Instagramie, i niestety ostatnio ostatnio coś poszło nie tak.

Kapitan społecznościowy ujawnił poświadczenia logowania na Instagramie zwykłym tekstem

Trzeba powiedzieć, że użytkownicy świadomi bezpieczeństwa mogą nie być pod wrażeniem Social Captain od samego początku. W chwili pisania tego tekstu współczesne przeglądarki ostrzegają, że część witryny Social Captain nie jest dostarczana za pośrednictwem HTTPS, co oznacza, że nie wszystkie wysyłane i odbierane informacje są szyfrowane. W dzisiejszych czasach jest to niezadowolone nie tylko przez społeczność bezpieczeństwa, ale także przez niektórych użytkowników. Pewien badacz bezpieczeństwa, który poprosił o zachowanie anonimowości, odkrył niedawno inny problem, który był o wiele bardziej naglący.

Skontaktowali się z Zack Whittaker z TechCruncha i wyjaśnili, że osoby, które połączyły swoje konta na Instagramie z usługą zwiększania popularności, mogą zobaczyć dane logowania do sieci społecznościowej w kodzie źródłowym strony profilu Social Captain. Whittaker podłączył jednorazowe konto na Instagramie do nowo utworzonego profilu Social Captain i zdołał potwierdzić ustalenia w ciągu kilku minut.

Powiedzenie, że to nie jest idealne byłoby niedopowiedzeniem. Oznaczałoby to, że w odpowiednich okolicznościach (nie wylogowałeś się ze swojego konta Social Captain, a osoba atakująca uzyskuje dostęp do twojego urządzenia), twoje hasło byłoby tylko kilka kliknięć. Błąd oznaczał także, że Social Captain mógł zobaczyć twoje hasło na Instagramie, co nie powinno się zdarzyć. Aplikacje, które integrujesz z profilami mediów społecznościowych, zwykle działają za pomocą tokenów dostępu i chociaż uzyskują dostęp do niektórych części Twojego konta, dane logowania zwykle pozostają niedostępne.

Wyniki były niepokojące, ale anonimowy badacz ujawnił kolejny błąd, który pogorszył sytuację.

Błąd Social Captain pozwolił na usunięcie danych osobowych użytkowników Instagram

Z założenia strona profilu Social Captain powinna być dostępna tylko po uwierzytelnieniu, co oznacza, że nawet jeśli twoje poświadczenia są przechowywane w źródle strony, szanse na atak w stanie dzikim są niewielkie. Badacz odkrył jednak, że wada pozwala im przeglądać profile całkowicie nieznajomych Kapitana Społecznego bez zgadywania i naruszania ich haseł.

Zamiast tego ekspert po prostu zmienił identyfikator konta w adresie internetowym. To automatycznie naraża konta użytkowników na Instagramie, ponieważ ich dane logowania były przechowywane w źródle stron profilów Social Captain. Co gorsza, według Whittakera, identyfikatory kont były w większości sekwencyjne, co otworzyło możliwość ataku polegającego na wyliczeniu zasobów.

Aby to udowodnić, badacz bezpieczeństwa przedstawił Whittakerowi arkusz kalkulacyjny zawierający informacje o około 10 tysiącach użytkowników Social Captain. W przypadku prawie połowy z nich zeskrobane dane obejmowały nazwy użytkownika i hasła na Instagramie.

Na szczęście wygląda na to, że cyberprzestępcom nie udało się dotrzeć do podatności Social Captain przed badaczem bezpieczeństwa. Z pomocą Whittakera ekspert ujawnił dziurę, która została zatkana. Kapitan społecznościowy powiedział TechCrunchowi, że bada sprawę i jak najszybciej powiadomi potencjalnie dotkniętych użytkowników.

Instagram również bada. Sieć udostępniania zdjęć stwierdziła, że niepewne obchodzenie się z poświadczeniami logowania ludzi przez Social Captain może stanowić naruszenie warunków świadczenia usługi. Chociaż nic nie wskazuje na to, że błąd został wykorzystany, wszystkim użytkownikom Social Captain zaleca się zmianę hasła na Instagram na wszelki wypadek.

Jak dla każdego innego, ta historia powinna być kolejnym przypomnieniem potencjalnych konsekwencji połączenia kont mediów społecznościowych z aplikacjami i usługami innych firm.