El servicio de seguidores de Insta, Social Captain expuso miles de contraseñas de Instagram

Compartir sus credenciales siempre es algo malo. Aunque las empresas insisten en no hacerlo, la mayoría de nosotros lo hacemos para obtener algunas pequeñas ventajas. ¡Y aquí hay un servicio que tomó las credenciales de inicio de sesión de los usuarios en Instagram y las expuso abiertamente sin darse cuenta para que cualquiera las vea! Todo esto, a través del intercambio de popularidad.

Credenciales visibles

Capitán social, un servicio que pretende incrementar el número de seguidores en Instagram, específicamente dirigido al tráfico / hashtags / cuentas, etc. Aunque tiene miles de seguidores, esta plataforma sigue vagas medidas de seguridad. Cualquier persona interesada en probar este servicio debe conectar su cuenta de Instagram a la plataforma Social Captain, es decir, iniciando sesión en Social Captain con las credenciales de inicio de sesión de Instagram.

Social Captain pide a los usuarios que inicien sesión con sus credenciales de Instagram.

Después de eso, el usuario puede optar por obtener tráfico seleccionando varias formas de segmentar las cuentas. TechCrunch, quien informó por primera vez de este incidente, afirma que un investigador les entregó una base de datos de muestra de 10,000 cuentas expuestas, que se eliminaron de la vulnerabilidad de Captain Social. Como se explicó, la plataforma almacena credenciales confidenciales no cifradas, haciéndolas visibles para quienes inician sesión explorando el código fuente del sitio.

Y lo peor

Se descubrió que este problema se limitaba principalmente a las cuentas personales, pero más tarde se agravó. No solo aquellos que se conectan a Social Captain pueden ver sus credenciales en el código fuente en texto sin formato, sino que si lo intentan, ¡también pueden ver otras cuentas! Esto es posible modificando ligeramente la URL de la dirección web del Social Captain con ID de usuario único y revise el código fuente nuevamente, revelando el nombre de usuario y la contraseña para esa cuenta específica.

Después de ser informado por TechCrunch, Social Captain garantizó inmediatamente esta vulnerabilidad. Aunque Instagram respondió diciendo que tomaría las medidas adecuadas al respecto, el CEO de Social Captain, Anthony Rogers, dijo:

«Tan pronto como completemos la investigación interna, alertaremos a los usuarios que podrían haberse visto afectados en caso de una infracción y les pediremos que actualicen las combinaciones asociadas de nombre de usuario y contraseña».