تعرضت الآلاف من حسابات موقع مشاركة وتعديل الصور إنستجرام "Instagram"، لكشف كلمات المرور الخاصة بها، لوجود ثغرة أمنية في تطبيق يدعي زيادة أرقام المتابعين على المنصة.
ووفقا لما ذكره موقع "تيك كرانش" التقني، فقد تم الكشف عن موقع Social Captain باعتباره يخزن كلمات مرور المستخدمين في ملف غير مشفر يمكن الوصول إليه بسهولة من قبل المتسللين.
ويساعد موقع "Social Captain" مستخدمي موقع إنستجرام على زيادة عدد متابعيهم، وذلك من خلال ربط حساباتهم الاجتماعية بمنصته، والذي يطلب منهم إدخال اسم المستخدم وكلمة المرور الخاصة بحسابه عند الاشتراك بالموقع لبدء تشغيل الخدمة.
ومما زاد الأمر سوءا، أن خلل موقع الويب يسمح لأي شخص بالوصول إلى ملف تعريف أي مستخدم في "Social Captain" دون الحاجة إلى تسجيل الدخول، ببساطة، فإن توصيل معرف حساب مستخدم فريد في عنوان الويب الخاص بالشركة يمنح حق الوصول إلى حساب Social Captain، وبيانات اعتماد تسجيل الدخول إلى إنستجرام الخاصة بهم.
أقرأ أيضاً
ونبه الباحث الأمني الذي طلب عدم الكشف عن اسمه، إلى الثغرة الأمنية وأبلغها إلى موقع "TechCrunch"، وقدم سجل بيانات يحتوي على حوالى 10 آلاف حساب مكشوف، من بينهم مجموعة تضم حوالى 4700 من أسماء المستخدمين وكلمات المرور الخاصة بهم على إنستجرام، ويحتوي بقية السجل على اسم المستخدم وعنوان بريده الإلكتروني فقط.
ولم يعرف حتى الآن ما إذا كان قد تم الاستيلاء على أي تفاصيل من قبل المتسللين ولكن تم حث المستخدمين على تغيير كلمة المرور والتفاصيل على وجه السرعة.
وأبلغ "تيك كرانش" موقع Social Captain، بمشكلة عدم الحصانة التي تخزن كلمات مرور مستخدمي إنستجرام، بنص مجرد غير مشفر، والذي أكد أنه أصلح الثغرة الأمنية عن طريق منع الوصول المباشر إلى ملفات تعريف المستخدمين الآخرين.
ويعرف هذا النص المجرد على أنه نص المعلومات التي يريد المرسل إرسالها إلى المستقبل قبل عملية التشفير، وعند توصيل معرف حساب مستخدم بعنوان الويب الخاص بالشركة يمنح أي شخص إمكانية الوصول إلى ملف تعريف مستخدم "Social Captain" دون الحاجة إلى تسجيل الدخول، وبالتالي يمكن عرض كلمة المرور ومعلومات الحساب الأخرى بسهولة.
وأوضح "أنتوني روجرز"، الرئيس التنفيذي لشركة Social Captain، قائلًا لـ TechCrunch، أنه يعتقد أن الأمر مشكلة حديثة، مشيرا إلى أن التحليل المبكر أشار إلى أن المشكلة تم طرحها خلال الأسابيع الماضية، وتهدف إلى تسهيل التكامل مع خدمة البريد الإلكتروني لطرف ثالث، متاحة بشكل مؤقت دون مصادقة رمزية.
وقال متحدث باسم "إنستجرام" إنه "بمجرد الانتهاء من التحقيق الداخلي، سننبه المستخدمين الذين قد يكونوا قد تأثروا في حالة حدوث خرق ونطلب منهم تحديث مجموعات أسماء المستخدمين وكلمات المرور المرتبطة بها".