Home Sociedad Se filtraron miles de contraseñas y datos privados de usuarios de Instagram

Se filtraron miles de contraseñas y datos privados de usuarios de Instagram

Los información personal de miles de usuarios de Instagram, ha quedado expuesta, por culpa por un servicio de arranque de medios sociales llamado Social Captain. Estos detalles incluyen el nombre de usuario y las contraseñas y eso significa que puede ser fácilmente utilizado por los delincuentes.

Social Captain afirma que ayuda a miles de usuarios a aumentar su número de seguidores de Instagram conectando sus cuentas a su plataforma. A los usuarios se les pide que introduzcan su nombre de usuario y contraseña de Instagram para empezar. TechCrunch informó que Social Captain almacenó estas contraseñas de las cuentas Instagram enlazadas en texto plano no encriptado.

Cualquier usuario que viera el código fuente de la página web en su página de perfil de Social Captain podría ver su nombre de usuario y contraseña de Instagram fácilmente siempre que estuviera conectado a la plataforma.

Lo que empeoró las cosas fue un error en la página web que permitía a cualquiera acceder a cualquier perfil de Social Captain sin necesidad de registrarse. Conectar el ID de cuenta único de un usuario a la dirección web de Social Captain le daría acceso a esa cuenta de Social Captain y a las credenciales de Instagram.

Debido a que las identificaciones de las cuentas de los usuarios eran “en su mayoría secuenciales, era posible acceder a la cuenta de cualquier usuario y ver su contraseña de Instagram y otra información de la cuenta con relativa facilidad”, informó TechCrunch.

Un investigador de seguridad, que no quiso ser nombrado, alertó a TechCrunch sobre esta vulnerabilidad y proporcionó una hoja de cálculo de unas 10.000 cuentas de usuario raspadas como prueba (sin embargo, un reciente fallo judicial estableció que los sitios web de raspado no entran en conflicto con las leyes de piratería informática de los Estados Unidos).

La hoja de cálculo que tiene TechCrunch contiene alrededor de 4.700 juegos completos de nombres de usuario y contraseñas de Instagram. El resto de los registros de la hoja de cálculo contenían sólo el nombre y la dirección de correo electrónico del usuario.

Los datos de la hoja de cálculo también mostraban si las cuentas estaban en prueba gratuita o eran cuentas premium de pago. “Sólo unas 70 cuentas eran clientes de pago, según los datos, pero muchas de esas cuentas premium también contenían las direcciones de facturación del cliente”, informó TechCrunch.

También, se verificó el error creando una cuenta falsa de Instagram y “conectándola a una nueva cuenta de Social Captain, y viendo el código fuente de la página web de nuestra página de perfil en Social Captain”.

Después de que TechCrunch se comunicara, Social Captain confirmó que habían corregido la vulnerabilidad “evitando el acceso directo a los perfiles de otros usuarios”. Sin embargo, las contraseñas y otra información de la cuenta siguen siendo visibles en el código fuente de la página web de la página de perfil de un usuario.

“Los primeros análisis indican que el problema se introdujo en las últimas semanas cuando el punto final, destinado a facilitar la integración con un servicio de correo electrónico de terceros, se ha hecho accesible temporalmente sin autenticación basada en fichas”, dijo Anthony Rogers, director ejecutivo de Social Captain.

“Tan pronto como finalicemos la investigación interna, alertaremos a los usuarios que podrían haberse visto afectados en caso de infracción y les pediremos que actualicen las combinaciones de nombre de usuario y contraseña asociadas”, dijo Rogers.

Rogers no ha mencionado cuánto tiempo va a durar esta investigación.

Comentando sobre esta fuga, Instagram dijo que Social Captain ha violado sus términos de servicio al almacenar inadecuadamente las credenciales de acceso.

“Estamos investigando y tomaremos las medidas apropiadas. Recomendamos encarecidamente a la gente que nunca dé sus contraseñas a alguien que no conozca o en quien no confíe”, indicó un portavoz de Instagram.

Con información de: TreceBits.