En las redes sociales de alto nivel, como Instagram, es normal entre influencers usar herramientas de terceros para entre otras cosas cebar de seguidores sus cuentas. Esto tiene un riesgo, ya que al fin y al cabo estamos dejando a un agente externo acceso a nuestras cuentas. Una de estas startups ha sido la causante de la exposición de miles de contraseñas de Instagram.

La firma, Social Captain, ha sido la culpable de esta exposición. Según una investigación de TechCrunch, Social Captain estaba almacenando las contraseñas de las cuentas vinculadas de Instagram a su servicio en texto sin cifrar. Cualquier usuario que hubiera visto el código fuente de su web podía ver su nombre de usuario y contraseña, siempre y cuando hubiesen conectado su cuenta de Instagram al servicio.

Por si fuera poco, el problema es todavía mayor; un error en su web permitía que cualquier persona pudiera acceder al perfil de cualquier usuario de Social Captain sin tener que iniciar sesión. Simplemente conectando el ID de la cuenta a la dirección web de la empresa se conseguiría acceso a su cuenta de Social Captain y a estos datos de inicio de sesión.

Contraseñas de Instagram al descubierto

Debido a que el ID de estas cuentas eran en su mayor parte scuenciales, era posible acceder a cualquier cuenta de cualquier usuario además de su contraseña. Además, también se podía acceder a información de su cuenta con relativa facilidad.

Pero, ¿qué es Social Captain? En esencia, es un servicio para aumentar seguidores de Instagram. Aseguran que ayudan a miles de usuarios a aumentar su número de seguidores simplemente conectando cuentas de Instagram a su plataforma. A los usuarios se les pide que ingresen su nombre de usuario y contraseña para hacerla funcionar.

Un investigador de seguridad proporcionó al medio una hoja de cálculo con aproximadamente 10.000 cuentas de usuario eliminadas. Esta hoja de cálculo contenía 4.700 sets de cuentas de Instagram junto a sus contraseñas. El resto de registros contenían el nombre de usuario y sus direcciones de correo electrónico.

Estos datos también mostraron si las cuentas asociadas a Social Captain tenían pruebas gratuitas o cuentas premium de pago. Solo alrededor de 70 cuentas pagaban a los clientes, pero muchas de esas cuentas también contenían las direcciones de facturación de esos mismos clientes. TechCrunch verificó el error creando una cuenta de Instagram y conectándola a una cuenta de Social Captain. Viendo el código fuente de la página pudieron revisar su perfil.

Social Captain aseguró que la vulnerabilidad había sido solucionada evitando el acceso directo a los perfiles de otros usuarios. A día de hoy, esto parece ser cierto... a medias. Las contraseñas e información de estas cuentas siguen en el código fuente de la web, por lo que las contraseñas aún están expuestas. Según explica Anthony Rogers, director ejecutivo de Social Captain:

"Tan pronto como finalicemos la investigación interna, estaremos alertando a los usuarios que podrían haber sido afectados en caso de que ocurra un problema de seguridad, y les pediremos que actualicen sus combinaciones de nombres de usuario y contraseñas".

Instagram se pone seria

Instagram admite que Social Captain atentó contra sus términos de servicio al almacenar incorrectamente las credenciales de inicio de sesión de sus usuarios. Un portavoz de Instagram dijo a TechCrunch que estaban "investigando" y tomando "las medidas apropiadas". Recuerdan a sus usuarios "que nunca den sus contraseñas a alguien que no conocen o en quién no confían".

Si por algún motivo estás registrado en Social Captain, te recomendamos encarecidamente que cambies tu contraseña de Instagram ahora mismo, ya que la seguridad de tu cuenta podría haber sido comprometida. Ya el año pasado Instagram cortó el acceso a un socio publicitario por recopilar y almacenar de forma secreta las ubicaciones y otros datos de millones de usuarios.

Origen | TechCrunch