Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/10/2018
Fallo de seguridad en la plataforma de microblogueo Tumblr
Tumblr reveló una vulnerabilidad que podría haber sido explotada para obtener información de las cuentas de usuarios, incluidas las direcciones de correo electrónico y las contraseñas protegidas.
Tumblr es una plataforma de microblogueo que permite a sus usuarios publicar textos, imágenes, vídeos, enlaces, citas y audio. Sus usuarios también pueden seguir a otros usuarios registrados y ver sus entradas por lo tanto es considerada como una red social.
El fallo encontrado para obtener datos de los usuarios estaba relacionada con la función "Blogs recomendados" en la versión de escritorio de Tumblr. Esta funcionalidad del programa muestra a los usuarios registrados una lista de blogs en los que pueden estar interesados en base a sus publicaciones, accesos a otras entradas, etc. Pues a partir de esta funcionalidad un atacante puede ver la información de las cuentas asociadas a cada entrada de cada blog sugerido usando el software de depuración de una manera determinada. No se ha compartido más información sobre la vulnerabilidad ni sobre su explotación por parte de Tumblr.
La explotación de la vulnerabilidad expuso información como el nombre del blog, la dirección de correo electrónico, la contraseña de la cuenta de Tumblr, la ubicación, la dirección de correo electrónico utilizada anteriormente y la IP de último inicio de sesión.
La compañía afirma que se implementó un parche dentro de las primeras 12 horas desde su notificación y no tienen evidencias de que la vulnerabilidad haya sido utilizada con fines maliciosos.
Más información aquí.