Certains articles de veille peuvent faire l'objet de traduction automatique.
La startup qui a aidé les utilisateurs d’Instagram à gagner en popularité a involontairement abandonné leur sécurité, le service Social Captain a exposé par inadvertance les mots de passe des comptes Instagram des utilisateurs.
Social Captain Bugs Exposed Data
Récemment, TechCrunch a révélé les détails d’un problème de cybersécurité affectant les utilisateurs d’Instagram. Plus précisément, ils ont révélé des bogues dans le service Social Captain qui mettent en danger des milliers de comptes Instagram.
En bref, un chercheur, qu’ils n’ont pas nommé, a découvert que Social Captain stockait les comptes des utilisateurs d’Instagram en texte brut. N’importe qui, après s’être connecté à l’application, pouvait voir son nom d’utilisateur et son mot de passe en texte brut lors de la consultation du code source de sa page de profil Social Captain.
Bien que cela constituait déjà une menace, les choses ont empiré lorsque le bogue a exposé les mots de passe des utilisateurs à d’autres. Plus précisément, toute personne connectée au service pourrait simplement afficher les mots de passe des autres en remplaçant simplement l’ID de compte unique sur l’URL. Cet identifiant de compte unique était séquentiel, de sorte que toute personne apportant des modifications séquentielles à son propre identifiant pouvait afficher les identifiants de compte des autres.
Le chercheur pourrait gratter environ 10 000 comptes. La fiche technique grattée partagée avec TechCrunch contenait également des informations sur l’abonnement gratuit ou premium des comptes utilisateurs. Dans le cas des comptes premium, les données incluaient également les détails de facturation.
Enquêtes en cours
Suite à cette découverte, TechCrunch a contacté Social Captain au sujet du bug, qui a confirmé son existence. En outre, ils ont également corrigé la vulnérabilité en empêchant l’accès aux profils d’autres utilisateurs.
Concernant la façon dont le bogue est apparu, Anthony Rogers, PDG de Social Captain, a déclaré:
Une analyse précoce indique que le problème a été introduit au cours des dernières semaines lorsque le point de terminaison, destiné à faciliter l’intégration avec un service de messagerie tiers, a été temporairement rendu accessible sans authentification basée sur des jetons.
TechCrunch pourrait confirmer que le code source de leur page Web affiche toujours les informations de compte.
Pour l’instant, le service enquête sur la question, après quoi, selon Rogers, ils informeront les utilisateurs.
Dès que nous finaliserons l’enquête interne, nous alerterons les utilisateurs qui auraient pu être affectés en cas de violation et les inviterons à mettre à jour les combinaisons de nom d’utilisateur et de mot de passe associées.
Faites-nous part de vos réflexions dans les commentaires.
Poster un commentaire