Ο Tumblr λέει ότι έχει επιλύσει ένα σφάλμα στον ιστότοπό του που θα μπορούσε ενδεχομένως να αποκάλυψε δεδομένα χρηστών.
Η εταιρεία που εδρεύει στη Νέα Υόρκη δήλωσε την Τετάρτη 17 Οκτωβρίου ότι είχε «κάποιες σημαντικές πληροφορίες» που ήθελε να μοιραστεί, προτού εξηγήσει για το ελάττωμα της ασφάλειας.
Πρώτον, ήθελε να καταστήσει σαφές ότι μέχρι στιγμής δεν είχε συγκεκριμένες αποδείξεις ότι είχαν κλαπεί δεδομένα. Ταυτόχρονα, η εταιρεία υποσχέθηκε ότι το πρόβλημα είχε επιλυθεί και δεν απαιτείται καμία ενέργεια - όπως η αλλαγή κωδικών πρόσβασης λογαριασμού - για λογαριασμό των χρηστών.
Λοιπόν τι έγινε? Σύμφωνα με την πλατφόρμα blogging, ένας ερευνητής ασφαλείας ανέφερε το πρόβλημα πριν από αρκετές εβδομάδες μέσω του προγράμματος bug bounty του Tumblr. Οι μηχανικοί επιδιόρθωσαν το ζήτημα μέσα σε μισή ημέρα και από τότε η εταιρεία έχει λάβει μέτρα για τη βελτίωση των διαδικασιών παρακολούθησης και ανάλυσης για να την βοηθήσει να εντοπίσει και να διορθώσει παρόμοια σφάλματα στο μέλλον.
Το εν λόγω ελάττωμα συνδέθηκε με τη λειτουργία "προτεινόμενα ιστολόγια" στην έκδοση επιτραπέζιου υπολογιστή του Tumblr. Τα προτεινόμενα ιστολόγια τροφοδοτούνται από έναν αλγόριθμο που εμφανίζει μια σύντομη, περιστρεφόμενη λίστα ιστολογίων από άλλους χρήστες του Tumblr που μπορεί να ενδιαφέρουν και εμφανίζεται μόνο για άτομα που έχουν συνδεθεί στον ιστότοπο του Tumblr.
Σύμφωνα με τον Tumblr, εάν το ιστολόγιο ενός χρήστη εμφανιζόταν σε αυτήν την ενότητα, ήταν δυνατό, "χρησιμοποιώντας λογισμικό εντοπισμού σφαλμάτων με συγκεκριμένο τρόπο", να δείτε ορισμένες από τις πληροφορίες λογαριασμού αυτού του χρήστη.
«Δεν βρήκαμε στοιχεία που να αποδεικνύουν ότι αυτό το σφάλμα έχει χρησιμοποιηθεί, και δεν υπάρχει τίποτα που να υποδηλώνει την πρόσβαση σε μη προστατευμένες πληροφορίες λογαριασμού», δήλωσε η εταιρεία.
Πρόσθεσε ότι δεν μπορούσε να είναι σίγουρος ποιοι συγκεκριμένοι λογαριασμοί επηρεάστηκαν από το ελάττωμα ασφαλείας, αλλά είπε ότι μέσω της δικής του ανάλυσης, "το σφάλμα ήταν σπάνια παρόν."
Στη χειρότερη περίπτωση, είναι πιθανό να έχουν προβληθεί ορισμένες πληροφορίες λογαριασμού χρήστη, συμπεριλαμβανομένων διευθύνσεων email, κρυπτογραφημένων κωδικών πρόσβασης λογαριασμού Tumblr, αυτοαναφερόμενης τοποθεσίας (μια λειτουργία που δεν είναι πλέον διαθέσιμη), διευθύνσεων email που χρησιμοποιήθηκαν προηγουμένως, της τελευταίας διεύθυνσης IP σύνδεσης και το όνομα του ιστολογίου που συνδέεται με τον λογαριασμό.
Η εταιρεία είπε ότι ήθελε να είναι διαφανής με την κοινότητά της σχετικά με το ελάττωμα της ασφάλειας, παρόλο που είναι βέβαιο ότι δεν έχουν κλαπεί δεδομένα χρήστη ενώ το σφάλμα ήταν ζωντανό. Είναι όμως νωρίς, οπότε ο Tumblr θα παρακολουθεί στενά την κατάσταση για να διασφαλίσει ότι οι παραδοχές του είναι σωστές.
Όχι το πρώτο, δεν θα είναι το τελευταίο…
Ο Tumblr σίγουρα δεν είναι η πρώτη υπηρεσία κοινωνικών μέσων που εμπλέκεται σε ένα ζήτημα που σχετίζεται με την ασφάλεια στο διαδίκτυο. Μόλις πρόσφατα, το Facebook αποκάλυψε ένα θέμα ευπάθειας ασφαλείας που έδωσε στους χάκερ την ευκαιρία να πάρουν τον έλεγχο έως και 30 εκατομμυρίων λογαριασμών, ενώ το Twitter είπε τον Σεπτέμβριο ότι είχε σπάσει ένα σφάλμα ασφαλείας που διέρρευσε άμεσα μηνύματα μεταξύ των χρηστών. Και τότε υπάρχει το Google+, το οποίο είπε την περασμένη εβδομάδα ότι ένα ελάττωμα είχε δώσει στους χάκερ πρόσβαση σε προσωπικές πληροφορίες που συνδέονται με έως και μισό εκατομμύριο λογαριασμούς. Ο γίγαντας του διαδικτύου είπε ότι μετά την παραβίαση και λόγω έλλειψης ενδιαφέροντος μεταξύ των χρηστών στην πλατφόρμα, σκοπεύει να κλείσει εντελώς το Google+ έως τον Αύγουστο του 2019
