一Social Captain 蟲子威脅著數以千計的Instagram用戶的安全

對於許多人來說，Instagram是一種使用時尚濾鏡和效果向所有朋友展示您的沙拉多麼美味的方法。然而，對於其他人來說，Instagram是其賺錢事業的關鍵，他們需要確保自己的帖子吸引盡可能多的人。這就是諸如Social Captain之類的服務進來的地方。

在Social Captain網站上的營銷演講中談到了使用人工智能“有組織地”增加您的Instagram影響力，但是您可以認為現實要簡單得多。想法是，Social Captain可以代表您與各種Instagram帖子和頁面進行交互，從而幫助您吸引關注者。您可以選擇目標受眾，由您來選擇允許社交隊長通過您的帳戶進行哪種活動。無論您選擇什麼，Social Captain都需要連接到您的Instagram個人資料，不幸的是，這是最近出問題的地方。

社交隊長以純文本形式公開了Instagram登錄憑據

必須說，從一開始，注重安全的用戶可能對Social Captain並不滿意。在撰寫本文時，現代的瀏覽器警告Social Captain網站的某些部分未通過HTTPS傳送，這意味著並非您發送和接收的所有信息都已加密。在當今時代，安全社區和某些用戶都對此表示反對。一位要求匿名的安全研究人員最近發現了另一個緊迫的問題。

他們與TechCrunch的Zack Whittaker取得了聯繫，並解釋說，將其Instagram帳戶連接到人氣提升服務的人可以在其Social Captain個人資料頁面的源代碼中看到其社交網絡登錄憑據。惠特克（Whittaker）將一個可拋棄的Instagram帳戶連接到新創建的Social Captain個人資料，並在幾分鐘之內確認了發現。

要說這不是理想的話，那就輕描淡寫了。這意味著在適當的情況下（您尚未註銷Social Captain帳戶，並且攻擊者可以訪問您的設備），只需單擊幾下即可輸入密碼。該錯誤還意味著，社交隊長實際上可以看到您的Instagram密碼，這是不應該發生的。與社交媒體配置文件集成的應用程序通常在訪問令牌的幫助下運行，儘管它們確實可以訪問您帳戶的某些部分，但登錄憑據通常仍然是禁止訪問的。

這些發現令人擔憂，但隨後這位匿名研究人員發現了另一個使情況變得更糟的錯誤。

社交隊長錯誤允許抓取Instagram用戶的個人信息

按照設計，您的Social Captain個人資料頁面僅應在身份驗證後才能訪問，這意味著，即使您的憑據存儲在頁面源中，狂野攻擊的可能性也很小。但是，研究人員發現，該漏洞使他們可以查看完整的陌生人的社交隊長資料，而無需猜測或破壞他們的密碼。

相反，專家只需更改網址中的帳戶ID。由於用戶的登錄數據存儲在Social Captain的個人資料頁面的頁面源中，因此這自動使用戶的Instagram帳戶處於風險中。更糟糕的是，根據Whittaker所說，帳戶ID大多是連續的，這為資源枚舉攻擊提供了可能性。

為了證明這一點，安全研究人員向Whittaker提供了一個電子表格，其中包含約1萬名Social Captain用戶的信息。對於其中不到一半的數據，抓取的數據包括Instagram用戶名和密碼。

幸運的是，網絡犯罪分子似乎沒有設法在安全研究人員面前發現Social Captain的漏洞。專家在Whittaker的幫助下披露了該孔，該孔現已堵塞。社交隊長告訴TechCrunch，它正在調查此事，並將盡快提醒可能受到影響的用戶。

Instagram也在調查。圖片共享網絡表示，Social Captain對用戶登錄憑據的不安全處理可能違反了其服務條款。儘管沒有任何跡象表明該漏洞已被利用，但建議所有Social Captain用戶更改其Instagram密碼，以防萬一。

對於其他任何人，這個故事都應該再次提醒人們將社交媒體帳戶連接到第三方應用程序和服務的潛在含義。