En social kaptenbugg hotar säkerheten för tusentals Instagram-användare

För många är Instagram ett sätt att använda trendiga filter och effekter för att visa alla dina vänner hur god din sallad är. För andra är Instagram emellertid en avgörande roll för deras pengar och de måste se till att deras inlägg når så många människor som möjligt. Det är här tjänster som Social Captain kommer in.

Marknadsföringen talar på Social Captain's webbplats och talar om att använda konstgjord intelligens för att "organiskt" öka ditt Instagram-inflytande, men du kan hävda att verkligheten är lite mer enkel. Tanken är att Social Captain hjälper dig att få följare genom att interagera med olika Instagram-inlägg och sidor för dina räkning. Du kan välja din målgrupp, och det är upp till dig att välja vilken typ av aktivitet Social Captain får utföra via ditt konto. Oavsett vad du väljer måste Social Captain dock vara ansluten till din Instagram-profil, och tyvärr är det här saker som gick fel nyligen.

Social Captain exponerade inloggningsuppgifter för Instagram i vanlig text

Det måste sägas att säkerhetsmedvetna användare kan imponera på Social Captain redan från början. I skrivande stund varnar moderna webbläsare att delar av Social Captain's webbplats inte levereras via HTTPS , vilket innebär att inte all information du skickar och tar emot är krypterad. I denna dag och ålder är detta inte bara av säkerhetsgemenskapen utan också av vissa användare. En säkerhetsforskare som bad om att förbli anonym upptäckte nyligen en annan fråga som var mycket mer pressande.

De kom i kontakt med TechCrunchs Zack Whittaker och förklarade att personer som hade anslutit sina Instagram-konton till tjänsten för att öka populariteten kunde se sina inloggningsuppgifter för socialt nätverk i källkoden på deras sociala kapten-profilsida. Whittaker anslöt ett kastat Instagram-konto till en nyskapad Social Captain-profil och lyckades bekräfta resultaten inom några minuter.

Att säga att detta inte är idealiskt skulle vara en underdrift. Det skulle betyda att under rätt förhållanden (du inte har loggat ut från ditt sociala kaptenkonto och en angripare får åtkomst till din enhet) skulle ditt lösenord bara vara några klick bort. Buggen innebar också att Social Captain faktiskt kunde se ditt Instagram-lösenord, vilket inte är tänkt att hända. Appar som du integrerar med dina sociala medieprofiler fungerar vanligtvis med hjälp av åtkomsttokens, och även om de får tillgång till vissa delar av ditt konto förblir inloggningsuppgifter normalt gränser.

Resultaten var oroande, men då avslöjade den anonyma forskaren ytterligare ett fel som gjorde saker mycket värre.

Ett Social Captain-fel gjorde det möjligt att skrapa Instagram-användarnas personliga information

Genom design bör din Social Captain-profilsida endast vara tillgänglig efter autentisering, vilket innebär att även om dina referenser lagras i sidkällan, är chansen för en attack i naturen något smal. Forskaren upptäckte emellertid att en brist gör det möjligt för dem att se socialkaptenprofilerna för kompletta främlingar utan att gissa eller kompromissa med deras lösenord.

Istället ändrade experten helt enkelt konto-ID i webbadressen. Detta sätter automatiskt användarnas Instagram-konton i riskzonen eftersom deras inloggningsdata lagrades i sidkällan på Social Captains profilsidor. För att göra saken värre, enligt Whittaker, var konto-ID: n mestadels sekventiellt, vilket öppnade för en resursuppräkningsattack.

För att bevisa detta presenterade säkerhetsforskaren Whittaker ett kalkylblad med information från cirka 10 tusen användare av Social Captain. För knappt hälften av dem inkluderade de skrapade uppgifterna användarnamn och lösenord på Instagram.

Lyckligtvis ser det ut som cyberbrottslingar inte lyckades komma till Social Captain's sårbarhet före säkerhetsforskaren. Med hjälp av Whittaker avslöjade experten hålet, som nu är anslutet. Social Captain berättade för TechCrunch att den undersöker saken och kommer att varna potentiellt drabbade användare så snart som möjligt.

Instagram undersöker också. Nätverket för fotodelning sa att Social Captain's osäkra hantering av människors inloggningsuppgifter kan vara ett brott mot dess användarvillkor. Även om det inte finns något som tyder på att felet har utnyttjats, rekommenderas alla Social Captain-användare att ändra sina Instagram-lösenord för fall.

När det gäller alla andra borde denna berättelse vara ännu en påminnelse om de potentiella konsekvenserna av att ansluta sociala mediekonton till tredjepartsappar och tjänster.