Tumblr siger, at det har sorteret en fejl på sit websted, der potentielt kunne have afsløret brugerdata.
Det New York-baserede selskab sagde onsdag den 17. oktober, at det havde "nogle vigtige oplysninger", som det ønskede at dele, inden det fortsatte med at forklare om sikkerhedsfejlen.
For det første ønskede det at gøre det klart, at det hidtil ikke havde nogen konkrete beviser for, at nogen data var blevet stjålet. Samtidig lovede virksomheden, at problemet var løst, og der kræves ingen handling - som f.eks. Ændring af kontoadgangskoder - på brugernes vegne.
Hvad skete der? Ifølge bloggingplatformen rapporterede en sikkerhedsforsker problemet for flere uger siden via Tumblrs bug-bounty-program. Ingeniører løste problemet inden for en halv dag, og siden da har virksomheden taget skridt til at forbedre overvågnings- og analyseprocedurer for at hjælpe det med at identificere og rette eventuelle lignende fejl i fremtiden.
Den pågældende fejl var knyttet til funktionen "anbefalede blogs" på desktopversionen af Tumblr. Anbefalede blogs er drevet af en algoritme, der viser en kort, roterende liste over blogs fra andre Tumblr-brugere, der kan være af interesse, og vises kun for personer, der er logget ind på Tumblr-webstedet.
Ifølge Tumblr, hvis en brugers blog dukkede op i dette modul, var det muligt at "bruge fejlfindingssoftware på en bestemt måde" til at se nogle af brugerens kontooplysninger.
”Vi fandt ingen beviser for, at denne fejl blev misbrugt, og der er intet, der tyder på, at der var adgang til ubeskyttede kontooplysninger,” sagde virksomheden.
Det tilføjede, at det ikke kunne være sikker på, hvilke specifikke konti der var påvirket af sikkerhedsfejlen, men sagde, at "gennem fejlen var den sjældent til stede."
I værste fald er det muligt, at visse brugerkontooplysninger kunne have været set, inklusive e-mail-adresser, krypterede Tumblr-kontoadgangskoder, selvrapporteret placering (en funktion, der ikke længere er tilgængelig), tidligere anvendte e-mail-adresser, den sidste login-IP-adresse og navnet på den blog, der er knyttet til kontoen.
Virksomheden sagde, at det ville være gennemsigtigt med sit samfund om sikkerhedsfejlen, selvom det er overbevist om, at ingen brugerdata blev stjålet, mens fejlen var live. Det er dog tidlige dage, så uden tvivl vil Tumblr overvåge situationen nøje for at sikre, at dens antagelser er korrekte.
Ikke den første, vil ikke være den sidste ...
Tumblr er bestemt ikke den første sociale medietjeneste, der bliver viklet ind i et emne, der er knyttet til onlinesikkerhed. Først for nylig afslørede Facebook en sikkerhedssårbarhed, der gav hackere chancen for at tage kontrol over så mange som 30 millioner konti, mens Twitter i september sagde, at det ville have presset en sikkerhedsfejl, der lækkede direkte beskeder mellem brugerne. Og så er der Google+, som i sidste uge sagde, at en fejl havde givet hackere adgang til personlige oplysninger knyttet til op til en halv million konti. Webgiganten sagde, at efter hacket og på grund af manglende interesse blandt brugerne i platformen, planlægger det at lukke Google+ helt inden august 2019.
