Сервис по накрутке подписчиков раскрыл пароли пользователей Instagram

Стартап Social Captain, благодаря которому можно было увеличить количество подписчиков в соцсети Instagram, раскрыл пароли нескольких тысяч пользователей.

Для того чтобы подписчики «пошли в гору», нужно было ввести имя пользователя и пароль от учетной записи в Instagram на сайте онлайн-сервиса.

Тысячи пользователей так и поступили, однако позже выяснилось, что компания хранила все пароли от Instagram-аккаунтов в обычном текстовом варианте. Проще говоря, хакерам не составило труда посмотреть «учетки» пользователей, для этого нужно было всего лишь заглянуть в исходный код веб-страницы Social Captain.

Помимо этого, сильно помог баг, который открыл доступ к профилю пользователя Social Captain в обход аутентификации не только хакерам, но и рядовым пользователям. Для этого достаточно было подставить уникальный идентификатор юзера в URL Social Captain.

Теперь пользователи в ускоренном режиме меняют пароли от своих Instagram-аккаунтов, так как некий анонимный исследователь уже собрал учетные данные порядка 10 тысяч человек.