Internacional.- Aunque no es nada recomendable, en Instagram, son miles los influencers que utilizan las herramientas de terceros para poder comprar seguidores para sus cuentas. Sin duda alguna, esto tiene un riesgo ya que los influencers dejan a un agente externo el acceso a sus cuentas. Ahora, una de estas empresas ha sido la causante de la filtración de miles de contraseñas de usuarios de Instagram.
En concreto, la startup culpable de ello ha sido Social Captain. Tal y como ha informado TechCrunch, esta empresa estaba almacenando las contraseñas de las cuentas vinculadas de Instagram a su servicio en texto sin cifrar. Así que cualquier usuario que hubiera visto el código fuente de su web podía ver su nombre de usuario y contraseña, siempre que hubieran conectado su cuenta de Instagram al servicio.
Social Captain es la empresa detrás de esta filtración de contraseñas
Aunque el problema no queda ahí y es mayor ya que un error en su página web permitía que cualquier persona pudiera acceder al perfil de cualquier usuario de Social Captain sin tener que iniciar sesión, tan solo conectando el ID de la cuenta a la dirección web de la empresa se conseguía acceso a su cuenta de Social Captain y a esos datos de inicio de sesión.
Es por lo que al ser el ID de estas cuentas eran, en su mayor parte secuenciales, era posible acceder a cualquier cuenta de cualquier usuario además de su contraseña y también se podía acceder a información de su cuenta con relativa facilidad.
Para aquellos que no lo sepan, Social Captain es un servicio para aumentar seguidores de Instagram y aseguran que ayudan a miles de usuarios a aumentar su número de seguidores tan solo conectando cuentas de Instagram a su plataforma. A los usuarios se les pide que ingresen su nombre de usuario y contraseña para hacerla funcionar.
Más de 4 mil cuentas de Instagram han sido perjudicadas
Fue un investigador de seguridad el que proporcionó al medio una hoja de cálculo con aproximadamente 10 mil cuentas de usuario eliminadas y esta hoja de cálculo contenía 4 mil 700 sets de cuentas de Instagram junto a sus contraseñas. El resto de registros contenían el nombre de usuario y sus direcciones de correo electrónico.
Los datos también mostraron si las cuentas asociadas a Social Captain tenían cuentas gratuitas o cuentas premium de pago. Solo en torno a 70 cuentas pagaban a los clientes pero muchas de esas cuentas contenían direcciones de facturación de esos mismos clientes. Para ello, el sitio especializado TechCrunch verificó el error creando una cuenta de Instagram y conectándola a una cuenta de Social Captain.
Por su parte, la startup ha afirmado que la “vulnerabilidad había sido solucionada evitando el acceso directo a los perfiles de otros usuarios”. Aunque, esto es cierto a medias ya que las contraseñas e información de estas cuentas siguen en el código fuente de la web, por lo que las contraseñas aún están expuestas.
En la otra parte, Instagram ha admitido que Social Captain atentó contra sus términos de servicio y un portavoz de la red social ha expresado que “estamos investigando y tomando las medidas apropiadas y recordamos a nuestros usuarios que nunca den sus contraseñas a alguien que no conocen o en quién no confían”.