Takipçi Arttırma Hizmeti Binlerce Instagram Şifresini İfşa Etti

Social Captain adlı şirket, binlerce kullanıcının hesaplarını platformuna bağlayarak Instagram takipçi sayılarını büyütmelerine yardımcı olduğunu söyledi.

TechCrunch tarafından edinilen bilgilere göre Social Captain, Instagram hesaplarının şifrelerini korunmamış düz metinler halinde saklıyordu. Web sayfası kaynak kodunu Social Captain profil sayfalarında görüntüleyen kullanıcılar, hesaplarını platforma bağladıkları sürece Instagram kullanıcı adlarını ve şifrelerini düz bir şekilde görebiliyordu.

Daha da kötüsü, bir web sitesi hatası, herhangi bir Social Captain kullanıcısının profiline giriş yapmak zorunda kalmadan erişmesine izin verdi. Bir kullanıcının benzersiz hesap kimliğini şirketin web adresine yazmak, Social Captain hesaplarına ve Instagram giriş kimlik bilgilerine erişim sağladı.

Kullanıcı hesabı kimlikleri çoğunlukla ardışık olduğu için, herhangi bir kullanıcının hesabına erişmek, Instagram şifresini ve diğer hesap bilgilerini kolayca görüntülemek mümkün oldu.

İsmi vermek istemeyen bir güvenlik araştırmacısı, TechCrunch’ı güvenlik açığı konusunda uyardı ve yaklaşık 10.000 kullanıcı hesabının e-tablosunu verdi. Elektronik tabloda yaklaşık 4.700 Instagram kullanıcı adı ve şifresi yer alıyordu. Kayıtların geri kalanı yalnızca kullanıcının adını ve e-posta adresini içeriyordu.

Veriler ayrıca hesapların ücretsiz deneme veya ücretli premium hesap olup olmadığını da gösteriyor. Bu premium hesapların çoğunda müşterinin fatura adresleri de vardı.

Sahte bir Instagram hesabı oluşturup yeni bir Social Captain hesabına bağlayarak ve buradaki profil sayfasındaki web sayfası kaynak kodu görüntülenerek hata doğrulandı. Social Captain, diğer kullanıcıların profillerine doğrudan erişimi engelleyerek bu güvenlik açığını giderdiğini doğruladı. Ancak şifreler ve diğer hesap bilgileri, bir kullanıcının profil sayfasının web sayfası kaynak kodunda görünmeye devam ediyor.

Social Captain Genel Müdürü Anthony Rogers, “Yaptığımız analiz, sorunun, hesapların üçüncü taraf e-posta hizmetiyle kimlik doğrulaması olmadan geçici olarak erişilebilir hale getirildiği son haftalarda ortaya çıktığını gösteriyor. Dahili araştırmayı bitirir bitirmez, bir ihlal durumunda etkilenebilecek kullanıcıları uyarıp ilgili kullanıcı adı ve şifre kombinasyonlarını güncellemelerini isteyeceğiz” dedi.