Instagram: falla nel servizio che fa crescere i follower. Password a rischio: cambiatele!

31 Jan 2020, 12:21 by Andrea Bai

Social Captain, servizio che promette di far crescere i follower di un account Instagram, ha conservato in chiaro le password di accesso degli utenti esponendole a possibilità di leak

Problema di sicurezza per gli utenti Instagram: Social Captain, un servizio di "boosting" che offre la possibilità di incrementare il numero di follower, ha esposto migliaia di password di account Instagram. Ce ne da notizia TechCrunch, ricevendo e ritrasmettendo la scoperta di un ricercatore di sicurezza che ha voluto restare anonimo.

Chi vuole sfruttare questo servizio si deve registrare a Social Captain creando un'utenza, e successivamente inserire le credenziali di accesso ad Instagram perché il servizio possa fare il suo lavoro. Il problema è che Social Captain ha conservato le coppie user/password degli account Instagram in testo semplice non cifrato: un utente visualizzando il codice sorgente della propria pagina su Social Captain avrebbe visto in chiaro il nome utente e la password del proprio account Instagram collegato.

Ma non è finita qui: un bug nel sito ha consentito l'accesso alla pagina profilo di qualsiasi utente Social Captain senza la necessità di loggarsi, semplicemente inserendo l'ID account unico nell'indirizzo web del servizio. Dal momento che gli ID degli account sono sequenziali, in linea teorica è stato possibile accedere ad un gran numero di account e visualizzare nome utente e password di Instagram, e ad altre informazioni, con relativa facilità.

Il ricercatore, che probabilmente ha utilizzato questa modalità, ha consegnato a TechCrunch un elenco di circa 10000 mila voci. Il documento contiene in tutto 4700 coppie complete user/password, mentre le restanti voci sono nomi utenti singoli o indirizzi email. Dal documento è inoltre possibile distinguere gli account gratuiti da quelli a pagamento: questi ultimi sono appena 70, ma per molti di essi è possibile risalire anche all'indirizzo di fatturazione del cliente.

Avete usato Social Captain? Cambiate password di Instagram

TechCrunch ha contattato Social Captain, che ha confermato di aver risolto la vulnerabilità evitando l'accesso diretto ad altri profili utente. Permane però la possibilità di riuscire a risalire alle informazioni dell'account andando ad esplorare il codice sorgente della pagina di ciascun utente.

"Le prime analisi indicano che il problema si è presentato durante le passate settimane quando l'endpoint, allo scopo di facilitare l'integrazione con un servizio email di terze parti, è stato reso temporaneamente accessibile senza autorizzazione token-based. Non appena concluderemo l'indagine interna notificheremo gli utenti che potrebbero essere stati coinvolti nell'eventualità di una violazione e li inviteremo ad aggiornare le credenziali" ha dichiarato Anthony Rogers, CEO di Social Captain, che non ha però dettagliato quanto a lungo durerà l'indagine.

"Stiamo indagando e adotteremo le misure opportune. Incoraggiamo le persone a non fornire le proprie password a qualcuno che non conoscono o di cui non si fidano" ha dichiarato un portavoce di Instagram, indicando che il servizio Social Captain viola i suoi termini d'uso avendo conservato impropriamente le credenziali di login.

Chiunque abbia fatto uso del servizio Social Captain dovrebbe cambiare immediatamente le password di Instagram.