Portada General Brecha de Seguridad en Startup Social Captain que Repercute en Instagram
Al leer el titular de este artículo seguramente puede que te estés preguntando qué es eso de la “Startup Social Captain” y que tiene que ver con la red social de Instagram. Si este es tu caso no tienes de que preocuparte, sin embargo, si conoces esta herramienta seguramente será porque la estas usando y en este caso tenemos malas noticias para ti, ya que a finales de la semana pasada hubo una brecha de seguridad en la misma con la que se expusieron miles de contraseñas.
Y aquí es donde empieza la “fiesta”.
Social Captain es una herramienta con la que supuestamente se pueden conseguir más seguidores para tu cuenta de Instagram. Para conseguirlo, Social Captain necesita conectarse con tu Instagram, por lo que necesitas introducir tu usuario y contraseña de dicha red social para que haga la sincronización de datos entre ambas plataformas.
El mayor problema es que a pesar de que tiene un periodo de prueba, Social Captain es de pago, pero sus creadores ni si quiera se han molestado en avisar a sus clientes de que han tenido una brecha de seguridad a finales de la semana pasada.
Lamentablemente las filtraciones de contraseñas están a la orden del día y no hay porque “esconderlas”, pero si avisar a los clientes lo antes posible para que tomen medidas.
En esta ocasión parece que Social Captain no ha optado por esta medida al ser ellos los causantes de la filtración de contraseñas de Instagram, puesto que como decimos para acceder a su herramienta el usuario tiene que poner sus datos de acceso de Instagram, sin embargo, Social Captain no guardaba esos datos de forma segura al iniciar sesión en su plataforma.
Por lo que hemos podido saber, Social Captain guardaba las contraseñas en texto plano, y lo que es todavía más grabe; sin cifrar, poniéndolas al alcance de cualquiera que revisara el código fuente de la página estando logueado.
Además, para empeorar todavía aún más si cabe las cosas, un fallo en el sitio web permitía a cualquier persona acceder al perfil de cualquier usuario de Social Captain sin tener que iniciar sesión, simplemente conectándose al ID único de un usuario.
Debido a que las ID de las cuentas de usuario eran en su mayor parte secuenciales, era posible acceder a la cuenta de cualquier usuario y ver su contraseña de Instagram y otra información de la cuenta con relativa facilidad.
Un investigador de seguridad proporcionó una hoja de cálculo de aproximadamente 10.000 cuentas de usuario eliminadas de Instagram. La hoja de cálculo contenía alrededor de 4.700 juegos completos de nombres de usuario y contraseñas de Instagram. El resto de los registros contenían solo el nombre del usuario y la dirección de correo electrónico.
Los datos también mostraron si las cuentas eran gratuitas o de pago. Solo alrededor de 70 cuentas eran de pago, según los datos, pero muchas de esas cuentas Premium también contenían las direcciones de facturación del cliente.
A día de hoy la vulnerabilidad ha sido solucionada para evitar el acceso directo a los perfiles de otros usuarios, sin embargo, las contraseñas y el resto de información de las cuentas filtradas todavía sigue visible en el código fuente de la página web del perfil de un usuario. Es por ello por lo que se debe cambiar la contraseña tanto de Instagram como de cualquier otro servicio para la cual se use esa misma contraseña.
Si eres uno de los afectados y utilizabas la misma contraseña de Instagram para acceder a tu panel de cliente de Hostinet o en alguna cuenta de correo que tuvieras configurada en Hostinet te recomendamos que la cambies cuanto antes para evitar problemas.
Puedes cambiar la contraseña de acceso al panel de cliente de Hostinet, desde la sección Mi cuenta -> Datos de acceso.
Puedes cambiar la contraseña de una cuenta de correo tanto desde el panel de cliente de Hostinet como de cPanel.
Por seguridad, en Hostinet las contraseñas están cifradas, así que no podrás verlas; verás renglones en blanco sobre los que podrás poner la nueva contraseña que quieras y confirmarla.
Fuente: ADSLZone vía TechCrunch
El mayor problema que hay en estos días es que muchos usuarios usan la misma contraseña para todo, por lo que, si hay una brecha de seguridad, ya no en Social Captain, sino en cualquier otra página web que ofrezca un formulario de registro, dicha contraseña pasa a estar comprometida.
Para evitar esta clase de problemas lo más recomendado es tener contraseñas específicas para cada servicio o acceso web, para que en caso de que haya “filtraciones” te afecten lo menos posible.
Es tedioso tener que recordar varias contraseñas diferentes, pero por suerte hay programas como «RoboForm» o «1Password» para almacenar contraseñas de forma completamente segura sin necesidad de tener memorizarlas. Así como también herramientas como «Firefox Monitor« ó bases de datos como «have i been pwned?» que pueden ayudar a descubrir si una cuenta de correo está en peligro de ser hakeada (más detalles).
Como se suele decir es mejor prevenir que curar o en este caso empezar a cambiar la contraseña afectada por una nueva en todas partes, lo cual puede suponer todo un laborioso trabajo.
¿Te ha resultado de utilidad este articulo?
Estamos presentes en las siguientes redes sociales: Facebook y Twitter @hostinet ¡SÍGUENOS!
En Hostinet todos nuestros Hosting SSD vienen de serie con un panel de control cPanel. En caso de necesitarlo, podrás crear todas las cuentas de email que quieras para tu proyecto web.