Tumblr obiecuje, że naprawiono błąd, który powodował ujawnienie danych użytkownika

Tumblr twierdzi, że rozwiązał błąd w swojej witrynie, który mógł potencjalnie ujawnić dane użytkownika.

Nowojorska firma poinformowała w środę 17 października, że ​​posiada „ważne informacje”, którymi chce się podzielić, zanim przejdzie do wyjaśnienia luki w zabezpieczeniach.

Po pierwsze, chciał wyjaśnić, że jak dotąd nie ma konkretnych dowodów na to, że jakiekolwiek dane zostały skradzione. Jednocześnie firma obiecała, że ​​problem został rozwiązany i nie są wymagane żadne działania - np. Zmiana haseł do kont - w imieniu użytkowników.

Więc co się stało? Według platformy blogowej badacz bezpieczeństwa zgłosił problem kilka tygodni temu za pośrednictwem programu Bounty Tumblr. Inżynierowie rozwiązali problem w ciągu pół dnia i od tego czasu firma podjęła kroki w celu ulepszenia procedur monitorowania i analizy, aby pomóc jej zidentyfikować i naprawić wszelkie podobne błędy w przyszłości.

Błąd, o którym mowa, był powiązany z funkcją „polecanych blogów” w wersji Tumblr na komputery stacjonarne. Polecane blogi są obsługiwane przez algorytm, który wyświetla krótką, obrotową listę blogów innych użytkowników Tumblr, które mogą być interesujące, i pojawia się tylko dla osób zalogowanych na stronie Tumblr.

Według serwisu Tumblr, jeśli blog użytkownika pojawił się w tym module, możliwe było „użycie oprogramowania do debugowania w określony sposób”, aby wyświetlić niektóre informacje o koncie tego użytkownika.

„Nie znaleźliśmy żadnych dowodów na to, że ten błąd był nadużywany i nic nie sugeruje, że uzyskano dostęp do niezabezpieczonych informacji o koncie” - powiedziała firma.

Dodał, że nie może być pewien, które konkretne konta zostały dotknięte luką w zabezpieczeniach, ale stwierdził, że na podstawie własnej analizy „błąd był rzadko obecny”.

W najgorszym przypadku możliwe było wyświetlenie pewnych informacji o koncie użytkownika, w tym adresów e-mail, zaszyfrowanych haseł do kont Tumblr, zgłoszonej przez siebie lokalizacji (funkcja, która nie jest już dostępna), wcześniej używanych adresów e-mail, adresu IP ostatniego logowania i nazwa bloga połączonego z kontem.

Firma stwierdziła, że ​​chce, aby społeczność była przejrzysta w kwestii luki w zabezpieczeniach, mimo że jest przekonana, że ​​żadne dane użytkownika nie zostały skradzione, gdy błąd był aktywny. Jednak to dopiero początek, więc bez wątpienia Tumblr będzie uważnie monitorował sytuację, aby upewnić się, że jego założenia są prawidłowe.

Nie pierwszy, nie ostatni…

Tumblr z pewnością nie jest pierwszą usługą mediów społecznościowych, która uwikłała się w problem związany z bezpieczeństwem online. Dopiero niedawno Facebook ujawnił lukę w zabezpieczeniach, która dała hakerom szansę przejęcia kontroli nad aż 30 milionami kont, podczas gdy Twitter powiedział we wrześniu, że usunął błąd bezpieczeństwa, który powodował wyciek bezpośrednich wiadomości między użytkownikami. Jest też Google+, w którym w zeszłym tygodniu stwierdzono, że luka dała hakerom dostęp do danych osobowych powiązanych z nawet pół miliona kont. Internetowy gigant powiedział, że po włamaniu i braku zainteresowania użytkowników platformą planuje całkowicie zamknąć Google+ do sierpnia 2019 roku.