一Social Captain 虫子威胁着数以千计的Instagram用户的安全

对于许多人来说，Instagram是一种使用时尚滤镜和效果向所有朋友展示您的沙拉多么美味的方法。然而，对于其他人来说，Instagram是其赚钱事业的关键，他们需要确保自己的帖子吸引尽可能多的人。这是诸如Social Captain之类的服务进来的地方。

在Social Captain网站上的营销演讲中谈到了使用人工智能“有组织地”增加您的Instagram影响力，但是您可以认为现实要简单得多。这个想法是，Social Captain可以代表您与各种Instagram帖子和页面进行交互，从而帮助您吸引关注者。您可以选择目标受众，由您来选择允许社交队长通过您的帐户进行哪种活动。无论您选择什么，Social Captain都需要连接到您的Instagram个人资料，不幸的是，这是最近出问题的地方。

社交队长以纯文本形式公开了Instagram登录凭据

必须说，从一开始，注重安全的用户可能对Social Captain并不满意。在撰写本文时，现代的浏览器警告Social Captain网站的某些部分未通过HTTPS传送，这意味着并非您发送和接收的所有信息都已加密。在当今时代，安全社区和某些用户都对此表示反对。一位要求匿名的安全研究人员最近发现了另一个紧迫的问题。

他们与TechCrunch的Zack Whittaker取得了联系，并解释说，将其Instagram帐户连接到人气提升服务的人可以在其Social Captain个人资料页面的源代码中看到其社交网络登录凭据。惠特克（Whittaker）将一个扔掉的Instagram帐户连接到新创建的Social Captain个人资料，并在几分钟内确认了发现。

要说这不是理想的话，那就轻描淡写了。这意味着在适当的情况下（您尚未注销Social Captain帐户，并且攻击者可以访问您的设备），只需单击几下即可输入密码。该错误还意味着，社交队长实际上可以看到您的Instagram密码，这是不应该发生的。与社交媒体配置文件集成的应用程序通常在访问令牌的帮助下运行，尽管它们确实可以访问您帐户的某些部分，但登录凭据通常仍然是禁止访问的。

这些发现令人担忧，但随后这位匿名研究人员发现了另一个使情况变得更糟的错误。

社交队长错误允许抓取Instagram用户的个人信息

按照设计，您的Social Captain个人资料页面仅应在身份验证后才能访问，这意味着，即使您的凭据存储在页面源中，狂野攻击的可能性也很小。但是，研究人员发现，该漏洞使他们可以查看完整的陌生人的社交队长资料，而无需猜测或破坏他们的密码。

相反，专家只需更改网址中的帐户ID。由于用户的登录数据存储在Social Captain的个人资料页面的页面源中，因此这自动使用户的Instagram帐户处于风险中。更糟糕的是，根据Whittaker所说，帐户ID大多是连续的，这为资源枚举攻击提供了可能性。

为了证明这一点，安全研究人员向Whittaker提供了一个电子表格，其中包含约1万名Social Captain用户的信息。对于其中不到一半的数据，抓取的数据包括Instagram用户名和密码。

幸运的是，网络犯罪分子似乎并没有在安全研究员面前找到社交船长的漏洞。专家在Whittaker的帮助下披露了该孔，该孔现已堵塞。社交队长告诉TechCrunch，它正在调查此事，并将尽快提醒可能受到影响的用户。

Instagram也在调查。图片共享网络表示，Social Captain对用户登录凭据的不安全处理可能违反了其服务条款。尽管没有任何迹象表明该漏洞已被利用，但建议所有Social Captain用户更改其Instagram密码，以防万一。

对于其他任何人，这个故事都应该再次提醒人们将社交媒体帐户连接到第三方应用程序和服务的潜在含义。