Una vulnerabilidad en Tumblr exponía información de cuentas

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

El sitio de microblogging Tumblr ha parcheado una vulnerabilidad que, según afirma, podría haber expuesto datos privados de los usuarios. La información que podrían haber visto personas no autorizadas incluye direcciones de correo electrónico, contraseñas con hash, ubicaciones, direcciones de correo electrónico utilizadas anteriormente y direcciones IP del último inicio de sesión.

El fallo residía en la función "Blogs recomendados" en la versión de escritorio de Tumblr, un widget que muestra a los usuarios registrados una lista de blogs que pueden ser de su interés. "Si un blog aparecía en el módulo, era posible, usando de cierta manera el software de depuración, ver cierta información de la cuenta asociada con el blog", ha explicado Tumblr. Descubierta a través del programa bug bounty de la plataforma hace varias semanas, la vulnerabilidad se resolvió en 12 horas.

La compañía asegura que no podía determinar qué cuentas específicas estaban en riesgo, aunque dice que su análisis mostró que "el fallo rara vez estaba presente". El sitio, que tiene más de 440 millones de blogs, dio garantías a sus usuarios de que no ha encontrado ninguna evidencia que sugiera que se ha accedido a ningún dato. Al mismo tiempo, aseguró a los usuarios no necesitan realizar ninguna acción, como cambiar sus contraseñas.

La decisión de la compañía de revelar el fallo se debe a su compromiso con la transparencia y porque cree que "simplemente es lo correcto". También ha tomado medidas para mejorar los procedimientos de monitorización y análisis para ayudarle a identificar y corregir cualquier error similar en el futuro.