IG-seuraajien määrää kasvattava palvelu jäi kiinni olemattomasta tietoturvasta – paljasti tuhansien käyttäjien Instagram-salasanat

SocialCaptain lupasi turvallisuutta (”Secure” laatikon yläkulmassa) mutta todellisuudessa palvelun toiminta oli kaikkea muuta.

Lisää aitoja Instagram-seuraajia käyttäjille luvanneen SocialCaptain-palvelun tietoturva on osoittautunut käytännössä olemattomaksi.

SocialCaptain pyysi käyttöönoton yhteydessä käyttäjiltään näiden Instagram-salasanaa käyttäjänimen lisäksi. Salasanat tallennettiin tietokantaan selväkielisenä. Tämän jälkeen käyttäjä voi nähdä oman SocialCaptain-profiilisivunsa lähdekoodista tallentamansa Instagram-salasanan. Todelliseksi tietoturvaongelmaksi ongelman kuitenkin kasvatti se, että verkkosivujen virheen vuoksi kuka tahansa pystyi myös avaamaan kenen tahansa SocialCaptain-käyttäjän profiilisivun – ja näkemään näin myös Instagramin salasanatiedot. Tämä onnistui, koska SocialCaptainin käyttäjätunnisteet olivat pääosin vain järjestyksessä eteneviä numeroita, eikä sivua oltu suojattu muuten.

Asiasta kertoo TechCrunch saamaansa vinkkiin perustuen.

SocialCaptainin mukaan sillä on tuhansia käyttäjiä, ja TechCrunchille asiasta vinkannut tietoturvatutkija jakoikin tiedoston, jossa oli myös salasanatieto noin 4 700 Instagram-käyttäjätilistä. Yhteensä tietoja oli mukana noin 10 000 käyttäjästä mutta muista vain käyttäjän nimi ja sähköpostiosoite.

Tiedostoon oli myös listattu se, olivatko käyttäjät SocialCaptainin maksavia asiakkaita vai ilmaisen kokeiluversion käyttäjiä. Maksavia asiakkaita oli vain noin 70 kappaletta, ja näistä oli listattu myös laskutusosoitetiedot.

TechCrunch otti yhteyttä SocialCaptainiin, joka kertoi korjanneensa ongelma estämällä pääsyn katselemaan käyttäjien profiileja. Käyttäjän oman profiilisivun lähdekoodissa käyttäjänimi- ja salasanatiedot ovat kuitenkin yhä näkyvissä TechCrunchin mukaan.

SocialCaptainin toimitusjohtaja Anthony Rogersin mukaan tietojen paljastumiseen johtanut ongelma verkkosivuille olisi ilmaantunut viime viikkojen aikana yhtiön päivittäessä integraation kolmannen osapuolen sähköpostipalvelun kanssa. Rogers lupasi yhtiön myös aikovan tiedottaa käyttäjille, joiden tiedot ovat voineet vaarantua, kunhan se on saanut tutkintansa asiasta valmiiksi.

Instagram puolestaan on todennut SocialCaptainin rikkoneen sen käyttöehtoja tallentamalla näin kirjautumistietoja.

”Tutkimme tapausta ja ryhdymme asianmukaisiin toimiin. Suosittelemme voimakkaasti, etteivät ihmiset ikinä anna salasanojaan jollekulle, jota he eivät tiedä tai johon he eivät luota”, kommentoi Instagramin edustaja.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla