Tumblr pravi, da je na svoji spletni strani odpravil napako, ki bi lahko razkrila uporabniške podatke.
Podjetje s sedežem v New Yorku je v sredo, 17. oktobra, sporočilo, da ima "nekaj pomembnih informacij", ki jih želi deliti, preden nadaljuje z razlago o varnostni napaki.
Najprej je želela pojasniti, da doslej ni imela konkretnih dokazov o ukradbi nobenih podatkov. Hkrati je podjetje obljubilo, da je bila težava odpravljena in da v imenu uporabnikov ni treba ukrepati - na primer spreminjanje gesel za račun.
Torej kaj se je zgodilo? Po poročanju blogovske platforme je raziskovalec varnosti pred nekaj tedni o težavi poročal prek programa Tumblr's bounty. Inženirji so težavo odpravili v pol dnevu in od takrat je podjetje sprejelo ukrepe za izboljšanje postopkov spremljanja in analize, da bi lahko v prihodnosti odkrilo in odpravilo podobne napake.
Zadevna napaka je bila povezana s funkcijo "priporočenih spletnih dnevnikov" v namizni različici Tumblr. Priporočeni dnevniki temeljijo na algoritmu, ki prikaže kratek, rotirajoč seznam blogov drugih uporabnikov Tumblrja, ki jih lahko zanima, in se prikaže samo ljudem, prijavljenim na spletno mesto Tumblr.
Po navedbah Tumblrja je bilo, če se je v tem modulu pojavil uporabnikov spletni dnevnik, mogoče z "uporabo programske opreme za odpravljanje napak na določen način" ogledati nekatere podatke o uporabnikovem računu.
"Nismo našli nobenega dokaza, da je bila ta napaka zlorabljena, in nič ne kaže na to, da so bili dostopni nezaščiteni podatki o računu," so sporočili iz podjetja.
Dodal je še, da ne more biti prepričan, na katere konkretne račune je vplivala varnostna napaka, vendar je dejal, da je bila s svojo analizo "napaka redko prisotna."
V najslabšem primeru je možno, da bi si lahko ogledali nekatere podatke o uporabniškem računu, vključno z e-poštnimi naslovi, šifriranimi gesli za račun Tumblr, lokacijo, ki jo prijavite sami (funkcija, ki ni več na voljo), prej uporabljenimi e-poštnimi naslovi, zadnjim IP naslovom za prijavo in ime spletnega dnevnika, povezanega z računom.
Družba je dejala, da želi biti s svojo skupnostjo pregledna glede varnostne pomanjkljivosti, čeprav je prepričana, da med hroščem v živo ni bila ukradena nobena uporabniška informacija. Vendar so zgodnji dnevi, zato bo Tumblr nedvomno pozorno spremljal razmere, da bo zagotovil pravilnost svojih predpostavk.
Ne prvi, ne bo zadnji ...
Tumblr zagotovo ni prva storitev socialnih medijev, ki se je zapletla v vprašanje, povezano s spletno varnostjo. Šele pred kratkim je Facebook razkril varnostno ranljivost, ki je hekerjem omogočila, da prevzamejo nadzor nad kar 30 milijoni računov, medtem ko je Twitter septembra dejal, da je zmešal varnostno napako, ki je puščala neposredna sporočila med uporabniki. Potem je tu še Google+, ki je prejšnji teden dejal, da je napaka hekerjem omogočila dostop do osebnih podatkov, povezanih z do pol milijona računov. Spletni velikan je dejal, da po vdoru in zaradi pomanjkanja zanimanja med uporabniki platforme načrtuje, da bo do avgusta 2019 popolnoma zaprl Google+.
