Es muss nicht immer gehackt werden, um an Zugangsdaten zu kommen – das Start-Up Social Captain speichert Passwörter ungeschützt im Quelltext.

Foto: Reuters

Ein Start-Up namens Social Captain bietet einen Service an, der die Anzahl der Instagram-Follower für Kunden steigern soll. Um mit der Nutzung des sogenannten "Social-Media-Boosters" zu beginnen, müssen Interessierte lediglich ihren Instagram-Benutzernamen und das zugehörige Passwort eingeben.

Für tausende Nutzer ging der Trick jedoch nach hinten los. Laut Techcrunch wurden die Zugangsdaten der verbundenen Instagram-Accounts unverschlüsselt gespeichert und waren im Quelltext ihres Social Captain-Profils sichtbar.

Freier Zugriff auf sämtliche Profile

Doch selbst der Zugang zu jenen Profilen auf der Webseite schien ungeschützt zu sein – ganz ohne Anmeldung war es jedem möglich auf Profile von Social Captain-Nutzern zuzugreifen. Fügte man die einzigartige Benutzerkonto-ID eines Social Captain-Nutzers der URL der Webseite hinzu, erhielt man ohne Anmeldung Zugriff auf sein Benutzerprofil und konnte folglich die Zugangsdaten des verknüpften Instagram-Accounts aus dem Quellcode kopieren.

Da die Benutzerkonto-IDs größtenteils sequenziell waren, war es bisher sehr einfach auf das Konto eines beliebigen Benutzers zuzugreifen und dessen Instagram-Passwort und andere Kontoinformationen zu entwenden. So konnten beispielsweise mithilfe des sogenannten Web-Scrapings – dem Auslesen von Informationen und Daten im Web – tausende Nutzerdaten automatisiert und legal gesammelt werden.

Daten 10.000 Nutzer gesammelt

Laut des Berichts habe ein Sicherheitsforscher Techcrunch auf die Sicherheitslücke aufmerksam gemacht und übermittelte eine Tabelle, die Informationen über 10.000 Social Captain-Nutzer enthielt – neben Namen und E-Mailadressen der Nutzer konnten auch 4.700 Instagram-Zugangsdaten erfasst werden. Unter den Nutzern befanden sich auch 70 mit einem Premium-Account, die für den Service bezahlten und ihre Bankdaten angegeben hatten.

Nachdem Social Captain mit dem massiven Problem konfrontiert wurde, habe das Unternehmen den freien Zugriff auf Nutzerprofile behoben, doch Instagram Passwörter sind noch immer ungeschützt im Quelltext des Profils gespeichert. Instagram gab bekannt, dass das Start-Up mit der unsicheren Speicherung der Nutzerdaten gegen die Nutzungsbedingungen der Plattform verstoße und infolgedessen untersucht werden würde. (hsu, 01.02.2020)