Tumblr promette di aver risolto un bug che lasciava esposti i dati degli utenti

Tumblr afferma di aver risolto un bug sul suo sito che potrebbe potenzialmente aver rivelato i dati degli utenti.

La società con sede a New York ha dichiarato mercoledì 17 ottobre di avere "alcune informazioni importanti" che desiderava condividere, prima di passare a spiegare la falla nella sicurezza.

In primo luogo, voleva chiarire che fino a quel momento non c'erano prove concrete che i dati fossero stati rubati. Allo stesso tempo, la società ha promesso che il problema era stato risolto e che non era richiesta alcuna azione, come la modifica delle password degli account, per conto degli utenti.

Allora, cos'è successo? Secondo la piattaforma di blogging, un ricercatore di sicurezza ha segnalato il problema diverse settimane fa tramite il programma bug bounty di Tumblr. Gli ingegneri hanno risolto il problema in mezza giornata e da allora l'azienda ha intrapreso misure per migliorare le procedure di monitoraggio e analisi per aiutarla a identificare e correggere eventuali bug simili in futuro.

Il difetto in questione era legato alla funzionalità “blog consigliati” nella versione desktop di Tumblr. I blog consigliati sono alimentati da un algoritmo che mostra un breve elenco a rotazione di blog di altri utenti Tumblr che potrebbero essere di interesse e appare solo per le persone che hanno effettuato l'accesso al sito Tumblr.

Secondo Tumblr, se il blog di un utente appariva in questo modulo, era possibile, "utilizzando il software di debug in un certo modo", visualizzare alcune informazioni sull'account dell'utente.

"Non abbiamo trovato prove che questo bug sia stato abusato e non c'è nulla che suggerisca che sia stato effettuato l'accesso a informazioni sull'account non protetto", ha detto la società.

Ha aggiunto che non poteva essere sicuro di quali account specifici fossero interessati dalla falla di sicurezza, ma ha affermato che attraverso la propria analisi, "il bug era raramente presente".

Nel peggiore dei casi, è possibile che alcune informazioni sull'account utente siano state visualizzate, inclusi indirizzi e-mail, password di account Tumblr crittografate, posizione auto-segnalata (una funzione che non è più disponibile), indirizzi e-mail utilizzati in precedenza, l'ultimo indirizzo IP di accesso e il nome del blog collegato all'account.

La società ha affermato di voler essere trasparente con la propria comunità in merito alla falla di sicurezza, anche se è sicura che nessun dato utente sia stato rubato mentre il bug era attivo. Tuttavia, è solo l'inizio, quindi senza dubbio Tumblr monitorerà attentamente la situazione per assicurarsi che le sue ipotesi siano corrette.

Non il primo, non sarà l'ultimo ...

Tumblr non è certo il primo servizio di social media a rimanere invischiato in un problema legato alla sicurezza online. Solo di recente, Facebook ha rivelato una vulnerabilità di sicurezza che ha dato agli hacker la possibilità di prendere il controllo di ben 30 milioni di account, mentre Twitter ha dichiarato a settembre di aver eliminato un bug di sicurezza che faceva trapelare messaggi diretti tra gli utenti. E poi c'è Google+, che ha affermato la scorsa settimana che un difetto aveva consentito agli hacker di accedere a informazioni personali collegate a mezzo milione di account. Il gigante del web ha affermato che in seguito all'hacking e a causa della mancanza di interesse tra gli utenti nella piattaforma, prevede di chiudere completamente Google+ entro agosto 2019.