El servicio de impulso de las redes sociales expuso miles de contraseñas de Instagram

El servicio de impulso de las redes sociales expuso miles de contraseñas de Instagram

by

in

Una startup que impulsa las redes sociales, que se factura a sí misma como un servicio para aumentar el Instagram de un usuario seguidores, ha expuesto miles de contraseñas de cuentas de Instagram.

La compañía, Social Captain, dice que ayuda a miles de usuarios a aumentar su número de seguidores de Instagram conectando sus cuentas a su plataforma. Se les pide a los usuarios que ingresen su nombre de usuario y contraseña de Instagram en la plataforma para comenzar.

Pero TechCrunch se enteró esta semana que Social Captain estaba almacenando las contraseñas de las cuentas vinculadas de Instagram en texto sin cifrar. Cualquier usuario que haya visto el código fuente de la página web en su página de perfil de Social Captain podría ver su nombre de usuario y contraseña de Instagram a la vista, siempre y cuando hayan conectado su cuenta a la plataforma.

Para empeorar las cosas, un error en el sitio web permitía a cualquier persona acceder al perfil de cualquier usuario de Social Captain sin tener que iniciar sesión, simplemente conectando el ID de cuenta único de un usuario a la dirección web de la empresa otorgaría acceso a su cuenta de Social Captain y sus credenciales de inicio de sesión de Instagram.

Debido a que las ID de las cuentas de usuario eran en su mayor parte secuenciales, era posible acceder a la cuenta de cualquier usuario y ver su contraseña de Instagram y otra información de la cuenta con relativa facilidad.

Un investigador de seguridad, que pidió no ser identificado, alertó a TechCrunch sobre la vulnerabilidad y proporcionó una hoja de cálculo de aproximadamente 10,000 cuentas de usuario eliminadas. (Un fallo reciente de la corte determinó que eliminar sitios web no incumple las leyes de piratería informática de EE. UU.). La hoja de cálculo contenía alrededor de 4,700 conjuntos completos de nombres de usuario y contraseñas de Instagram. El resto de los registros contenían solo el nombre del usuario y su dirección de correo electrónico.

Los datos también mostraron si las cuentas eran de prueba gratuita o cuentas premium pagas. Solo alrededor de 70 cuentas pagaban a los clientes, según los datos, pero muchas de esas cuentas premium también contenían las direcciones de facturación del cliente.

Verificamos el error creando una cuenta ficticia de Instagram y conectándola a una nueva cuenta de Social Captain, y viendo el código fuente de la página web de nuestra página de perfil en Social Captain.

Se pidió a los usuarios que conectaran sus cuentas de Instagram al servicio ingresando su nombre de usuario y contraseña. A pesar de la afirmación de que era “segura”, las contraseñas se recopilaron y almacenaron en texto sin formato. (Imagen: TechCrunch)

Después de que TechCrunch se comunicó, Social Captain confirmó que había solucionado la vulnerabilidad al evitar el acceso directo a los perfiles de otros usuarios.

Pero las contraseñas y otra información de la cuenta todavía están visibles en el código fuente de la página web de la página de perfil de un usuario.

“El análisis inicial indica que el problema se introdujo durante las últimas semanas cuando el punto final, destinado a facilitar la integración con un servicio de correo electrónico de terceros, se ha hecho accesible temporalmente sin autenticación basada en token”, dijo Anthony Rogers, director ejecutivo de Social Captain. .

“Tan pronto como finalicemos la investigación interna, estaremos alertando a los usuarios que podrían haber sido afectados en caso de una violación y les pediremos que actualicen las combinaciones de nombre de usuario y contraseña asociadas”, dijo.

Rogers no dijo cuánto tiempo llevaría esa investigación.

Instagram dijo que el servicio violó sus términos de servicio al almacenar incorrectamente las credenciales de inicio de sesión.

“Estamos investigando y tomaremos las medidas apropiadas. Recomendamos encarecidamente a las personas que nunca den sus contraseñas a alguien en quien no conocen o en quien no confían “, dijo un portavoz de Instagram.

Los usuarios que se registraron en Social Captain deben cambiar sus contraseñas de Instagram de inmediato.

Es el último incidente de seguridad que afecta a los usuarios de Instagram, incluso si Facebook el gigante de las redes sociales no era directamente culpable del lapso. El año pasado, Instagram amplió su generosidad de errores para incluir el uso indebido de los datos de la cuenta solo unos meses después de que una empresa india de medios sociales eliminó la información de contacto de los influenciadores de Instagram a gran escala. Instagram también cortó el año pasado a un socio publicitario confiable para recopilar y almacenar secretamente las ubicaciones y otros datos de millones de usuarios.


Source link