Blogolók adatai voltak veszélyben

​A Tumblr felhasználók adatai egy biztonsági hiba miatt válhattak kiszolgáltatottá. A fejlesztők már megszüntették a sérülékenységet, de egyelőre sok a kérdőjel a történetben.
 

A 2007-ben alapított Tumblr viszonylag hamar népszerű lett az internetes közösségek berkein belül. A blogolásra kiélezett webes szolgáltatást napjainkban sok millió felhasználó veszi igénybe, és több milliárd bejegyzést tárol. Ezért nem csoda, hogy a Yahoo által 2013-ban 1,1 milliárd dollárért felvásárolt szolgáltatás a kiberbűnözők figyelmét sem kerüli el. Az eddigi legsúlyosabb Tumblr elleni támadás 2016-ban következett be, amikor 65 millió felhasználó adata vált kiszolgáltatottá. Azóta a fejlesztők igyekeztek nagyobb figyelmet fordítani a biztonságra, de így is egy újabb sérülékenység ütötte fel a fejét. Ráadásul egyelőre elég nagy homály fedi a történteket. Úgy fest, hogy a Tumblr üzemeltetői sem tudják pontosan, hogy a feltárt és már javított sebezhetőség pontosan milyen következményekkel járt a regisztrált felhasználók adataira nézve.

A Tumblr egyelőre annyit közölt, hogy a sérülékenységet a blogajánló funkcióval összefüggésben lehetett kimutatni. A biztonsági rés kihasználásával a potenciális támadók hozzáférést szerezhettek az ajánlott blogok készítőinek egyes nem publikus adataihoz. Az üzemeltetők szerint ehhez debugger szoftvereket kellett használniuk az adattolvajoknak, de hogy pontosan miképp azt nem kívánták elárulni, legalábbis egyelőre. Azt azonban közölték, hogy a biztonsági hiba miatt a támadók nevekhez, e-mail címekhez, kódolt (hash-elt) jelszavakhoz, helyinformációkhoz, illetve az utolsó bejelentkezések alkalmával használt IP-címekhez is hozzáférést szerezhettek. Arra azonban egyelőre nem utal semmiféle bizonyíték, hogy a biztonsági rést a támadók korábban felismerték és kihasználták volna.

A sebezhetőséget az Oath hibavadász programjának keretében jelentette egy biztonsági kutató, és azt a Tumblr fejlesztői 12 órán belül javították. Arról nincsnek információk, hogy a szakember mekkora összegű jutalomban részesült a felfedezéséért, de az Oath általában 10-15 ezer dollárral díjazza a hibabejelentőket. 

A Tumblr egyelőre nem akarja, vagy nem tudja megmondani. hogy a regisztrált felhasználó közül kiket érinthetett hátrányosan a sérülékenység. Különösebb jó tanácsokkal sem szolgált, de nyilván egy jelszóváltoztatást a szolgáltatás kapcsán azért nem árt megejteni.