Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/10/2018
Fallada de seguretat en la plataforma de microblogs Tumblr
Tumblr va revelar una vulnerabilitat que podria haver sigut explotada per a obtindre informació dels comptes d'usuaris, incloses les adreces de correu electrònic i les contrasenyes protegides.
Tumblr és una plataforma de microblogs que permet als seus usuaris publicar textos, imatges, vídeos, enllaços, cites i àudio. Els seus usuaris també poden seguir a altres usuaris registrats i veure les seues entrades per tant és considerada com una xarxa social.
La fallada trobada per a obtindre dades dels usuaris estava relacionada amb la funció "Blogs recomanats" en la versió d'escriptori de Tumblr. Aquesta funcionalitat del programa mostra als usuaris registrats una llista de blogs en els quals poden estar interessats basant-se en les seues publicacions, accessos a altres entrades, etc. A partir d'aquesta funcionalitat un atacant pot veure la informació dels comptes associats a cada entrada de cada blog suggerit usant el programari de depuració d'una manera determinada. No s'ha compartit més informació sobre la vulnerabilitat ni sobre la seua explotació per part de Tumblr.
L'explotació de la vulnerabilitat va exposar informació com el nom del blog, l'adreça de correu electrònic, la contrasenya del compte de Tumblr, la ubicació, l'adreça de correu electrònic utilitzada anteriorment i la IP d'últim inici de sessió.
La companyia afirma que es va implementar un pegat dins de les primeres 12 hores des de la seua notificació i no tenen evidències que la vulnerabilitat haja sigut utilitzada amb finalitats malicioses.
Més informació ací.