Zdroj: TechCrunch
Startup Social Captain poskytuje svoje služby tisícom používateľov a sľubuje im zvýšenie počtu sledovateľov ich účtu na Instagrame. Používa na to svoju platformu, do ktorej sa musia prihlásiť svojim Instagram menom a heslom.
Redakciu TechCrunch však upozornil hacker, ktorý si nepraje byť menovaný, že platforma má vážne chyby. Social Captain napríklad ukladá heslá prilinkovaných Instagram účtov v čitateľnej podobe. A teraz príde to najhoršie, ktokoľvek kto používa túto platformu si môže pozrieť svoje prístupové údaje v zdrojovom kóde svojho profilu.
To ešte nie je to najhoršie. Chyba v systéme umožňovala prezerať ľubovoľné profily bez prihlásenia. Stačilo vložiť ID za adresu web stránky služby. Tieto identifikátory boli generované z veľkej časti za sebou, takže nebol veľký problém prezerať ich a stiahnuť prístupové údaje.
Hacker poskytol redakcii TechCrunch tabuľku okolo 10.000 stiahnutých prihlasovacích údajov. Redakcia vytvorila testovací Instagram účet a overila, že je možné prezerať cudzie profily a vidieť prihlasovacie údaje v zdrojovom kóde stránky.
Po kontakte redakciou opravil startup problém s pozeraním cudzích účtov, ale heslá sú stále viditeľné v zdrojovom kóde. Instagram sa vyjadril, že startup porušil ich podmienky služby nesprávnym skladovaním hesiel. Prípad vyšetrujú a budú reagovať. Hovorca Instagramu sa vyjadril, že ľudia by mali zvážiť komu dajú prístup k svojmu účtu.
My udeľujeme startupu Social Captain za nepochopiteľný spôsob skladovania prístupov a celú jej softvérovú platformu náš titul fail týždňa.
Obrázok: Social Captain