Одна ошибка социального капитана угрожает безопасности тысяч пользователей Instagram

Для многих Instagram - это способ использования модных фильтров и эффектов, чтобы показать всем своим друзьям, насколько вкусен ваш салат. Для других, однако, Instagram имеет решающее значение для их заработка денег, и они должны обеспечить, чтобы их посты достигали как можно большего количества людей. Вот где приходят такие сервисы, как Social Captain.

На веб-сайте Social Captain, посвященном маркетингу, говорится об использовании искусственного интеллекта для «органического» наращивания вашего влияния в Instagram, но вы можете утверждать, что реальность немного проще. Идея состоит в том, что Social Captain помогает вам получать подписчиков, взаимодействуя с различными постами в Instagram и страницами от вашего имени. Вы можете выбрать свою целевую аудиторию, и вам решать, какую деятельность Social Captain разрешено выполнять через вашу учетную запись. Как бы то ни было, Social Captain должен быть подключен к вашему профилю в Instagram, и, к сожалению, в последнее время все пошло не так.

Социальный капитан раскрыл учетные данные для входа в Instagram в виде простого текста

Надо сказать, что пользователи, которые заботятся о безопасности, могут быть не впечатлены Social Captain с самого начала. На момент написания статьи современные браузеры предупреждают, что некоторые части веб-сайта Social Captain не доставляются по протоколу HTTPS, что означает, что не вся информация, которую вы отправляете и получаете, зашифрована. В наше время это осуждается не только сообществом безопасности, но и некоторыми пользователями. Исследователь безопасности, который попросил остаться анонимным, недавно обнаружил еще одну проблему, которая была более актуальной.

Они связались с Заком Уиттакером из TechCrunch и объяснили, что люди, которые подключили свои учетные записи Instagram к службе повышения популярности, могли видеть свои учетные данные для входа в социальную сеть в исходном коде своей страницы профиля Social Captain. Уиттекер подключил одноразовую учетную запись Instagram к недавно созданному профилю Social Captain и смог подтвердить полученные данные в течение нескольких минут.

Сказать, что это не идеально, было бы преуменьшением. Это будет означать, что при правильных обстоятельствах (вы не вышли из своей учетной записи Social Captain, и злоумышленник получает доступ к вашему устройству), ваш пароль будет находиться всего в нескольких щелчках мыши. Ошибка также означала, что Social Captain действительно мог видеть ваш пароль в Instagram, чего не должно быть. Приложения, которые вы интегрируете в свои профили в социальных сетях, обычно работают с помощью токенов доступа, и хотя они действительно получают доступ к определенным частям вашей учетной записи, учетные данные для входа в систему обычно остаются запрещенными.

Результаты оказались тревожными, но затем анонимный исследователь обнаружил еще одну ошибку, которая значительно ухудшила ситуацию.

Ошибка Social Captain позволила удалить личную информацию пользователей Instagram.

По своей задумке ваша страница профиля Social Captain должна быть доступна только после аутентификации, а это означает, что даже если ваши учетные данные хранятся в источнике страницы, шансы атаки в дикой природе несколько невелики. Исследователь обнаружил, однако, что недостаток позволяет им просматривать профили социального капитана совершенно незнакомых людей, не угадывая и не подвергая риску их пароли.

Вместо этого эксперт просто изменил идентификатор учетной записи в веб-адресе. Это автоматически подвергает учетные записи пользователей Instagram риску, потому что их данные для входа в систему были сохранены в источнике страниц страниц профиля Social Captain. Что еще хуже, по словам Уиттакера, идентификаторы учетных записей были в основном последовательными, что открывало возможность для атаки перечисления ресурсов.

Чтобы доказать это, исследователь безопасности представил Whittaker электронную таблицу, содержащую информацию о 10 тысячах пользователей Social Captain. Для чуть менее половины из них в данные были включены имена пользователей и пароли из Instagram.

К счастью, похоже, что киберпреступникам не удалось добраться до уязвимости Social Captain перед исследователем безопасности. С помощью Уиттакера эксперт обнаружил дыру, которая теперь закрыта. Социальный капитан заявил TechCrunch, что расследует этот вопрос и как можно скорее предупредит потенциальных пользователей.

Instagram тоже расследует. В сети обмена фотографиями говорится, что небезопасная обработка учетных данных людей в Social Captain может являться нарушением условий обслуживания. Хотя нечего предположить, что эта ошибка была использована, всем пользователям Social Captain рекомендуется сменить пароли в Instagram на всякий случай.

Как и для всех остальных, эта история должна стать еще одним напоминанием о потенциальных последствиях подключения учетных записей социальных сетей к сторонним приложениям и службам.