Стартап в области накрутки подписчиков слил пароли тысяч пользователей Instagram
Стартап в области увеличения числа подписчиков в рамках социальной сети Инстаграм раскрыл пароли тысяч пользователей сервиса.
Компания Social Captain утверждает, что помогает тысячам пользователей увеличить число подписчиков Instagram, подключив их аккаунты к своей платформе. Чтобы начать работу, пользователям предлагается ввести в платформу свое имя пользователя и пароль Instagram.
Tech Crunch стало известно, что Social Captain сохранял пароли связанных аккаунтов Instagram в незашифрованном виде. Любой пользователь, который просматривал исходный код веб-страницы на своей странице профиля Social Captain, мог видеть свое имя пользователя и пароль Instagram в незашифрованном виде, если он подключили свою учетную запись к платформе.
Ситуацию усугубляет еще и то, что на веб-сайте содержалась ошибка, которая позволяла любому человеку получить доступ к профилю любого пользователя Social Captain без входа в систему – для этого достаточно было просто подключите уникальный идентификатор учетной записи пользователя к URL Social Captain, чтобы получить доступ к их учетной записи (учетные данные для входа в Instagram).
Поскольку идентификаторы учетных записей пользователей по большей части шли в порядке возрастания, то можно было получить доступ к учетной записи любого пользователя и просматривать их пароль Instagram и другую информацию об учетной записи с невероятной легкостью.
После того, как TechCrunch сообщил о беше в области информационной безопасности, Social Captain подтвердил, что исправил уязвимость, запретив прямой доступ к профилям других пользователей.
Однако пароли и другая информация об учетной записи все еще видны в исходном коде страницы профиля пользователя.