Instagram: falla nel servizio che fa crescere i follower. Password a rischio: cambiatele!

Instagram: falla nel servizio che fa crescere i follower. Password a rischio: cambiatele!

Social Captain, servizio che promette di far crescere i follower di un account Instagram, ha conservato in chiaro le password di accesso degli utenti esponendole a possibilità di leak

di pubblicata il , alle 13:21 nel canale Sicurezza
Instagram
 

Problema di sicurezza per gli utenti Instagram: Social Captain, un servizio di "boosting" che offre la possibilità di incrementare il numero di follower, ha esposto migliaia di password di account Instagram. Ce ne da notizia TechCrunch, ricevendo e ritrasmettendo la scoperta di un ricercatore di sicurezza che ha voluto restare anonimo.

Chi vuole sfruttare questo servizio si deve registrare a Social Captain creando un'utenza, e successivamente inserire le credenziali di accesso ad Instagram perché il servizio possa fare il suo lavoro. Il problema è che Social Captain ha conservato le coppie user/password degli account Instagram in testo semplice non cifrato: un utente visualizzando il codice sorgente della propria pagina su Social Captain avrebbe visto in chiaro il nome utente e la password del proprio account Instagram collegato.

Ma non è finita qui: un bug nel sito ha consentito l'accesso alla pagina profilo di qualsiasi utente Social Captain senza la necessità di loggarsi, semplicemente inserendo l'ID account unico nell'indirizzo web del servizio. Dal momento che gli ID degli account sono sequenziali, in linea teorica è stato possibile accedere ad un gran numero di account e visualizzare nome utente e password di Instagram, e ad altre informazioni, con relativa facilità.

Il ricercatore, che probabilmente ha utilizzato questa modalità, ha consegnato a TechCrunch un elenco di circa 10000 mila voci. Il documento contiene in tutto 4700 coppie complete user/password, mentre le restanti voci sono nomi utenti singoli o indirizzi email. Dal documento è inoltre possibile distinguere gli account gratuiti da quelli a pagamento: questi ultimi sono appena 70, ma per molti di essi è possibile risalire anche all'indirizzo di fatturazione del cliente.

Avete usato Social Captain? Cambiate password di Instagram

TechCrunch ha contattato Social Captain, che ha confermato di aver risolto la vulnerabilità evitando l'accesso diretto ad altri profili utente. Permane però la possibilità di riuscire a risalire alle informazioni dell'account andando ad esplorare il codice sorgente della pagina di ciascun utente.

"Le prime analisi indicano che il problema si è presentato durante le passate settimane quando l'endpoint, allo scopo di facilitare l'integrazione con un servizio email di terze parti, è stato reso temporaneamente accessibile senza autorizzazione token-based. Non appena concluderemo l'indagine interna notificheremo gli utenti che potrebbero essere stati coinvolti nell'eventualità di una violazione e li inviteremo ad aggiornare le credenziali" ha dichiarato Anthony Rogers, CEO di Social Captain, che non ha però dettagliato quanto a lungo durerà l'indagine.

"Stiamo indagando e adotteremo le misure opportune. Incoraggiamo le persone a non fornire le proprie password a qualcuno che non conoscono o di cui non si fidano" ha dichiarato un portavoce di Instagram, indicando che il servizio Social Captain viola i suoi termini d'uso avendo conservato impropriamente le credenziali di login.

Chiunque abbia fatto uso del servizio Social Captain dovrebbe cambiare immediatamente le password di Instagram.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
DanieleG31 Gennaio 2020, 13:50 #1
Bisogna essere dei fenomeni per usare un servizio del genere
Axios200631 Gennaio 2020, 13:53 #2
Social Captain ha conservato le coppie user/password degli account Instagram in testo semplice non cifrato: un utente visualizzando il codice sorgente della propria pagina su Social Captain avrebbe visto in chiaro il nome utente e la password del proprio account Instagram collegato.

Ma non è finita qui: un bug nel sito ha consentito l'accesso alla pagina profilo di qualsiasi utente Social Captain senza la necessità di loggarsi, semplicemente inserendo l'ID account unico nell'indirizzo web del servizio. Dal momento che gli ID degli account sono sequenziali,


Chi usa questi servizi, merita questo e molto piu'...

"La mia foto ha mille mila like!"
"Ma sono tutti like di bot!"
"Echissenefrega! L'importante e' avere like!"

Coi like poi si pagano le bollette...
filippo198031 Gennaio 2020, 14:29 #3
Sono d'accordo che comprare like/follower è la cosa peggiore che si possa fare perché alla lunga questa cosa viene fuori, ma purtroppo in un mondo, quello dei social media, dove i numeri contano per un"neo vVIP" o per un'azienda che apre un profilo ufficiale non è così semplice arrivare a "competere" con i numeri di chi è online da anni!
Maxt7531 Gennaio 2020, 14:57 #4
Vomito
Opteranium31 Gennaio 2020, 15:08 #5
Giusto così, si chiama legge del contrappasso
SpyroTSK31 Gennaio 2020, 15:38 #6
Originariamente inviato da: filippo1980
Sono d'accordo che comprare like/follower è la cosa peggiore che si possa fare perché alla lunga questa cosa viene fuori, ma purtroppo in un mondo, quello dei social media, dove i numeri contano per un"neo vVIP" o per un'azienda che apre un profilo ufficiale non è così semplice arrivare a "competere" con i numeri di chi è online da anni!


Appunto, se è difficile competere in "maniera pulita" vs "maniera pulita", non lo meriti oppure semplicemente il tuo prodotto è peggiore.

E trovo strano che nessuno riesca a fermare questo tipo di "frode"
al13531 Gennaio 2020, 16:19 #7
Originariamente inviato da: SpyroTSK
Appunto, se è difficile competere in "maniera pulita" vs "maniera pulita", non lo meriti oppure semplicemente il tuo prodotto è peggiore.

E trovo strano che nessuno riesca a fermare questo tipo di "frode"


perche non è una frode. è un modo diverso per comprare pubblicità. ad esempio: hai un prodotto, di qualsiasi tipo dal servizio all'oggettistica. ti "compri" follower che poi come non hanno capito in molti NON sono bot, semplicemente avvengono automatismi di following, messaging etetc... che innescano il "seguirsi". ma se il tuo prodotto fa schifo, lo vedranno piu persone si, ma non avrai il risultato sperato. se invece è ottimo allora hai velocizzato la cosa. lo fanno anche alcune aziende, anche se spesso si utilizzano inserzioni a pagamento che hanno un effetto maggiore ma costano di piu. poi c'è chi lo usa in maniera stupida solo per farsi bello e per i like ma è un altro discorso.
SpyroTSK31 Gennaio 2020, 16:37 #8
Originariamente inviato da: al135
perche non è una frode. è un modo diverso per comprare pubblicità. ad esempio: hai un prodotto, di qualsiasi tipo dal servizio all'oggettistica. ti "compri" follower che poi come non hanno capito in molti NON sono bot, semplicemente avvengono automatismi di following, messaging etetc... che innescano il "seguirsi". ma se il tuo prodotto fa schifo, lo vedranno piu persone si, ma non avrai il risultato sperato. se invece è ottimo allora hai velocizzato la cosa. lo fanno anche alcune aziende, anche se spesso si utilizzano inserzioni a pagamento che hanno un effetto maggiore ma costano di piu. poi c'è chi lo usa in maniera stupida solo per farsi bello e per i like ma è un altro discorso.


So benissimo come funziona e gli "automatismi" di cui parli sono script che creano account fake e mettono like sulle inserzioni, quindi bot, script, IA, chiamala come vuoi ma è una truffa perché comprare likes/recensioni (come su Amazon) è come dire "GUARDATE HO X MILA PERSONE CHE USANO MIEI PRODOTTI E/O GUARDANO COSA FACCIO" è la maggior parte sono fake.

Cosa diversa è comprare banner pubblicitari sui siti.
al13531 Gennaio 2020, 17:11 #9
Originariamente inviato da: SpyroTSK
So benissimo come funziona e gli "automatismi" di cui parli sono script che creano account fake e mettono like sulle inserzioni, quindi bot, script, IA, chiamala come vuoi ma è una truffa perché comprare likes/recensioni (come su Amazon) è come dire "GUARDATE HO X MILA PERSONE CHE USANO MIEI PRODOTTI E/O GUARDANO COSA FACCIO" è la maggior parte sono fake.

Cosa diversa è comprare banner pubblicitari sui siti.


like te lo mette la gente a cui piace quello che fai /vendi.
se dai un occhiata piu approfondita noterai la stessa cosa su youtube.
video da tante visualizzazioni e pochissime interazioni (like/commenti), che è indice di pubblicita/inserzioni comperate. ma ci sono moltissime inserzioni di questo tipo che ottengono tantissimo consenso, perche offrono degli ottimi prodotti/contenuti.
poi che non si possano usare applicazioni/bot etc è un altra cosa e se è proibito dalle clausole del contratto/regolamento è giusto multare/bloccare
SpyroTSK31 Gennaio 2020, 17:30 #10
Originariamente inviato da: al135
like te lo mette la gente a cui piace quello che fai /vendi.
se dai un occhiata piu approfondita noterai la stessa cosa su youtube.
video da tante visualizzazioni e pochissime interazioni (like/commenti), che è indice di pubblicita/inserzioni comperate. ma ci sono moltissime inserzioni di questo tipo che ottengono tantissimo consenso, perche offrono degli ottimi prodotti/contenuti.
poi che non si possano usare applicazioni/bot etc è un altra cosa e se è proibito dalle clausole del contratto/regolamento è giusto multare/bloccare


Non hai proprio idea di come funzioni, mi spiace
https://marcocrupi.it/2019/05/insta...e-commenti.html

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^