بوت يعرض بيانات اعتماد النص العادي لآلاف الحسابات على انستقرام

مشاهدة
أخر تحديث : الجمعة 14 فبراير 2020 - 10:11 صباحًا
بوت يعرض بيانات اعتماد النص العادي لآلاف الحسابات على انستقرام

شبكة أندروتك الإخبارية … وكالات

إن تسرب كلمة مرور Instagram الذي كشف عن حوالي 10،000 حساب مستخدم مملوك ينبع من تطبيق “bot” شائع يستخدم لتنشيط ما يلي تلقائيًا على النظام الأساسي. قام تطبيق SocialCaptain بتخزين أسماء المستخدمين وكلمات المرور الخاصة بـ Instagram في نص عادي ، ويمكن رؤيتها من خلال عرض التعليمات البرمجية المصدر لصفحة الملف الشخصي للتطبيق.

ما يجعل الانتهاك أكثر خطورة هو أنه يمكن الوصول إلى أي ملف تعريف SocialCaptain بحرية من خلال إدخال معرف المستخدم الفريد للتطبيق في عنوان URL عام.

  • كيف حدث تسرب كلمة المرور لـ SocialCaptain Instagram؟

Instagram هي واحدة من أكبر ساحات القتال في الحرب الحديثة للاهتمام. يشعر مستخدمو النظام الأساسي ، وخاصة أولئك الذين يطمحون إلى أن يكونوا “مؤثرين” أو شخصيات عامة ، بضغط كبير لتطوير مقاييس المشاركة والمشاركة على المنصة.

يلجأ البعض إلى برامج bots مثل SocialCaptain ، وهي عبارة عن برامج آلية تقوم بالوصول للمستخدم من خلال القيام بأشياء مثل التعليق على علامات التجزئة الشائعة أو “الإعجاب” بمحتوى المستخدمين الآخرين أو ببساطة التوفيق بين مستخدمي التطبيق مع بعضهم البعض. قام مستخدمو SocialCaptain بتوصيل حساباتهم بالتطبيق ، مما تطلب منهم الوثوق بكلمة المرور الخاصة بهم.

أثبت SocialCaptain أنه لا يستحق هذه الثقة. إذا كان التطبيق قد تم ببساطة إلغاء وتخزين أسماء المستخدمين وكلمات المرور في نص عادي على خادم شركة خاصة ، فسيكون ذلك سيئًا بدرجة كافية. استغرق الأمر الأمور إلى مستوى آخر عن طريق جعل بيانات اعتماد الحساب هذه مرئية عبر الويب.

يتم تعيين معرف مستخدم فريد لكل مستخدم في SocialCaptain ، يتم إدخاله في عنوان URL للوصول إلى صفحة ملف التعريف المركزية الخاصة به. تم تأمين هذه الميزة على ما يبدو من خلال هذا المعرف الفريد. يمكن لأي شخص يعرف معرف مستخدم آخر الانتقال مباشرة إلى ملف التعريف الخاص به ، ثم عرض رمز مصدر صفحة الويب لرؤية اسم المستخدم وكلمة المرور الخاصين بـ Instagram مدرجين هناك في العلن. يمكن للمرء أيضًا تجربة عناوين URL عن طريق إدخال أرقام متسلسلة للتعرف على حسابات SocialCaptain عشوائية لاستغلالها.

على الرغم من أنه لا ينبغي إلقاء اللوم على المستخدمين في الإشراف الأمني ​​بهذا الحجم ، إلا أن موقع SocialCaptain الإلكتروني يقدم الكثير من التحذير من أن المستخدم لا يتعامل مع أكثر شركاء العمل أمانًا. لا توجد ملكية أو أسماء جهات اتصال أو حتى اسم ناشر مدرج ؛ يتم سرد أسماء المالكين وعناوين مختلفة على مواقع مختلفة. يقول مكتب الأعمال الأفضل أنه مملوك من قبل أنتوني روجرز من نيوارك ، وهو أيضًا الاسم الذي يتم إرجاعه بواسطة بحث whois على موقع socialcaptain.com. تقدم الصفحة الرسمية للشركة أيضًا “شراء إعجابات Instagram” في الأسفل ، وهو أمر محظور بموجب شروط خدمة Instagram ويمكن أن يؤدي إلى حظر الحساب إذا تم اكتشافه.

تم اكتشاف تسرب كلمة مرور Instagram بواسطة باحث أمان مجهول قام بتنبيه TechCrunch في أواخر يناير. وجد الباحث قاعدة بيانات لحوالي 10000 حساب مكشوف. حوالي 4،700 من هذه الحسابات لديها أسماء المستخدمين وكلمات المرور مرئية في نص عادي. من بين هؤلاء ، كان حوالي 70 منهم يدفعون لعملاء SocialCaptain الذين لديهم عناوين إرسال فواتير مرفقة بحساباتهم. الحسابات التي لم تتضمن كلمات مرور مدرجة بها أسماءها وعناوين بريدها الإلكتروني مكشوفة لأي شخص ينظر إلى صفحة الويب.

ذكرت SocialCaptain أنها قد أصلحت ثغرة أمنية تسمح بالوصول المباشر إلى الملفات الشخصية عبر معالجة URL ، لكن TechCrunch ذكرت أن كلمات المرور لا تزال مرئية في شفرة مصدر ملف التعريف.

  • اختراق رئيسي آخر لـ Instagram ؛ الثانية خلال عام

هذا هو ثاني أكبر تسرب لكلمة مرور Instagram في أقل من عام. في أبريل ، تم الكشف عن معلومات الملف الشخصي الخاصة لعشرات الملايين من حسابات المستخدمين عندما اكتشف باحثو الأمن دلو التخزين السحابي غير الآمن من Amazon AWS.

كما نتج تسرب كلمة مرور Instagram 2019 أيضًا عن شركة خارجية تعمل مع المؤثرين ، Chtrbox ومقره مومباي. على الرغم من الكشف عن معلومات الاتصال الخاصة ، فإن هذا الخرق لم يتضمن بيانات اعتماد تسجيل الدخول إلى Instagram ولم يتمكن أي شخص من الوصول إلى مستخدمين آخرين.

أي تسرب لكلمة Instagram بالضرورة له تداعيات على الشركة الأم Facebook ، التي تكافح مع سلسلة مشاكل الأمان الخاصة بها منذ اندلاع فضيحة Cambridge Analytica سيئة السمعة. تركت الشركة 419 مليون من أرقام هواتف المستخدمين الخاصة مكشوفة في سبتمبر ، وكان لها خوادم أمازون السحابية غير المحمية الخاصة بها في أبريل والتي أثرت على مئات الملايين من مستخدمي Instagram وفي بعض الحالات تركت كلمات المرور مرئية.

حددت مكالمة أرباح Q4 الأخيرة على Facebook أن الشركة ستركز مجددًا على خصوصية المستخدم في عام 2020. وتتمثل إحدى الخطوات المهمة في هذه العملية في التدقيق الدقيق لتطبيقات وخدمات الطرف الثالث مثل SocialCaptain. قام Facebook بتعليق عشرات الآلاف من التطبيقات في عام 2019 بسبب العديد من انتهاكات الخصوصية والأمان ، ولكن تسرب كلمة المرور في Instagram مؤخرًا يوضح أنه يلزم القيام بالمزيد من العمل.

تسرب كلمة مرور Instagram لم ينبع بالضرورة من نية سيئة ؛ في بعض الأحيان ، إنها ببساطة حالة تصميم قذر. يجب أن تكون الشركة التي تمتلك موارد Facebook قادرة على تحديد وإدارة هذه الأنواع من المشكلات. كما يشير آدم براون ، مدير حلول الأمن في سينوبسيس سوفتوير بروجيكت جروب ، إلى:

“عيوب التصميم هي سبب حوالي 50 ٪ من جميع نقاط الضعف في البرامج. نادراً ما يتم اكتشافها دون إجراء مراجعة للتصميم لأن هذا النشاط يتطلب خبرة محددة. ومع ذلك ، في هذه الحالة يجب أن يكون اختبار الاختراق قد حدد بسهولة هذا الخلل.

“يعد هذا أمرًا سيئًا بشكل خاص للمستخدمين المتأثرين ليس فقط لأن كلمات مرور Instagram الخاصة بهم قد انتهكت الآن ، ولكن أيضًا نظرًا لأن الأشخاص عادةً ما يعيدون استخدام كلمات المرور التي قد تؤدي إلى وصول غير مصرح به لحسابات إضافية عن طريق الامتداد”.

بالطبع ، يجب على مستخدمي Instagram و Facebook ممارسة النظافة الأمنية الجيدة أيضًا. كما يشير توني جارفيس ، كبير مسؤولي التكنولوجيا (آسيا والمحيط الهادئ) في شركة Check Point Software Technologies ، إلى:

“ما نراه هنا هو مثال آخر على كيفية إدخال نوع واحد من حساب المستخدم في خدمة أخرى يقدم مصدرًا إضافيًا للمخاطر المحتملة. مع كل خدمة لها حق الوصول إلى تفاصيل تسجيل دخول المستخدم ، قد تؤدي الثغرة الأمنية في أي من هذه الأنظمة إلى تعرض حساب للخطر أو كشف التفاصيل.

تم تخزين 10.000 # اسم مستخدم وكلمة مرور في نص عادي وجعلها مرئية على الكود المصدر لصفحة الملف الشخصي للتطبيق.

“من الحكمة دائمًا أن تفكر في من تخولك بأوراق اعتماد تسجيل الدخول الخاصة بك والعواقب المحتملة في حالة حدوث خرق. في هذه الحالة ، يُنصح مستخدمو الخدمة على الفور بتغيير كلمات المرور ليس فقط للحساب المتأثر ، ولكن لأي حسابات أخرى تتقاسم نفس كلمة المرور. كن على اطلاع على رسائل البريد الإلكتروني التي قد تستخدم البيانات المسربة لصياغة المزيد من هجمات التصيد الاحتيالي ، ومراقبة الاتصالات من مقدمي هذه الخدمات لأنها تقدم تحديثات للعملاء بعد أي حوادث من هذا القبيل. “

المصدر - وكالات
رابط مختصر