Una compañía externa que trabaja con influencers expuso la información privada de miles de personas. Los detalles.
En la semana que se celebró el Día Internacional de la Privacidad de Datos, una vulnerabilidad presente en la página web de Social Captain, una compañía externa que proporciona servicios a influencers de Instagram como el incremento de seguidores, expuesto las contraseñas de 4.700 cuentas de la red social de sus clientes.
Según detectó un investigador de ciberseguridad que no se ha identificado y ha recogido el portal TechCrunch, la página web de Social Captain almacenaba en texto llano y sin encriptación las cuentas y las contraseñas de sus usuarios.
Una vulnerabilidad presente en la web, además, exponía los datos de acceso sin necesidad de haberse registrado previamente en la plataforma, de manera que un atacante podría acceder a los nombres de las cuentas de Instagram y sus contraseñas desde la web de Social Captain.
Mediante una recopilación secuencial de datos, el descubridor de la vulnerabilidad pudo conseguir una base de datos con información de unos 10.000 usuarios de Social Captain, consiguiendo de esta manera el nombre de usuario y la contraseña de 4.700 usuarios de Instagram.
La vulnerabilidad también permitía averiguar qué usuarios utilizaban planes gratuitos o de pago y en el caso de los premium, llegaba en algunos casos a exponer los datos bancarios de los clientes.
Tras descubrir este fallo de seguridad, el investigador informó a Social Captain, que actualmente ya ha solucionado la vulnerabilidad de su página web.