Binlerce Kullanıcının Instagram Şifresi Açığa Çıktı

SocialCaptain isimli şirketin, Instagram hesaplarını platformuna bağlayarak kullanıcıların takipçi sayılarını artırmasına yardımcı olduğunu söylediği ve bunun için bireylerin platforma Instagram kullanıcı isimlerini ve şifrelerini girerek kaydolmalarını istediği bilgisini vererek haberimize başlayalım.

Teknoloji sanayisinin bilinen ismi çevrimiçi yayıncı TechCrunch tarafından bu hafta edinilen bilgilere nazaran SocialCaptain, Instagram hesaplarının şifrelerini korunmamış düz metinler halinde saklıyordu. Web sayfası kaynak kodunu SocialCaptain profil sayfalarında görüntüleyen kullanıcılar, hesaplarını platforma bağladıkları sürece Instagram kullanıcı isimlerini ve şifrelerini düz bir halde görebiliyorlardı.

Meydana gelen bir web sitesi kusuru, bir SocialCaptain kullanıcısının profiline giriş yapmak zorunda kalmadan bilgilerine erişmesine müsaade verdi. Kullanıcı hesabı kimlikleri çoğunlukla ardışık olduğu için, rastgele bir kullanıcının hesabına erişmek ve Instagram şifresiyle öbür hesap bilgilerini basitçe görüntülemek de böylelikle mümkün oldu.

İsmini vermek istemeyen bir güvenlik araştırmacısı, TechCrunch'ı güvenlik açığı konusunda uyardı ve yaklaşık 10 bin kullanıcı hesabının bir tablosunu oluşturdu. Elektronik tabloda yaklaşık 4 bin 700 Instagram kullanıcı ismi ve şifresi vardı. Kayıtların geri kalanı ise sadece kullanıcının ismini ve e-posta adresini içeriyordu. Dataların ayrıyeten hesapların fiyatsız deneme yahut fiyatlı premium hesap olup olmadığını da gösteren cinsten olduğunu ve bu premium hesapların birçoklarında müşterilerin fatura adreslerinin de var olduğunu ekleyelim.

Yanılgı doğrulandı ve çabucak bildirildi

Araştırmacıların, geçersiz bir Instagram hesabı oluşturup, hesabı SocialCaptain sitesine bağlayarak ve sitedeki profilin web sayfası kaynak kodunu görüntüleyerek yanılgıyı doğruladığı açıklandı. TechCrunch’ın yanılgıyı bildirmesinin akabinde SocialCaptain, öteki kullanıcıların profillerine direkt erişimi engelleyerek bu güvenlik açığını giderdiğini bildirdi.

SocialCaptain'ın genel müdürü Anthony Rogers, “Yaptığımız tahlil, sorunun, hesapların üçüncü taraf e-posta hizmetiyle kimlik doğrulaması olmadan süreksiz olarak erişilebilir hale getirildiği son haftalarda ortaya çıktığını gösteriyor” dedi. İşlemlerin devam ettiğini de kelamlarına ekleyen Rogers soruşturmanın ne kadar süreceği hakkında bir bilgi vermedi.

SocialCaptain sitesine kaydolan kullanıcıların Instagram şifrelerini çabucak değiştirmeleri sanıyoruz birinci kademede yapılacak en gerçek şeylerden biri. Gelişmelerin ne olacağının ve kullanıcılar tarafından nasıl tedbirler alınacağının önümüzdeki günlerde şekilleneceğini düşünüyoruz.