Vulnerabilidad en Tumblr que podría comprometer los datos de la cuenta de usuario

Los datos de algunas cuentas podrían haber sido comprometidos

Tumblr acaba de publicar un informe de seguridad admitiendo la presencia de una vulnerabilidad de seguridad en su sitio web que podría haber permitido a los hackers robar credenciales de inicio de sesión y otra información privada desde las cuentas de los usuarios.

Acorde a expertos en forense digital la información afectada incluye direcciones de email de los usuarios, contraseñas de cuentas protegidas, ubicación autorreportada (una función que ya no está disponible), direcciones de correo utilizadas anteriormente, direcciones IP asociadas al último inicio de sesión y nombres de los blogs asociado a cada cuenta.

Según la compañía, un investigador de ciberseguridad y forense digital descubrió una vulnerabilidad crítica en la versión de escritorio de su sitio web y lo informó al equipo de seguridad de Tumblr de manera inmediata a través de su programa de recompensas de errores.

Aunque la compañía no ha revelado ni el nombre del investigador, ni  ningún detalle técnico sobre la vulnerabilidad, Tumblr reveló que la falla residía en la función “Blogs recomendados” de su sitio web de escritorio. Esta función ha sido diseñada para mostrar una lista corta y actualizable de blogs de otros usuarios que pueden ser de su interés. La función aparece solamente para los usuarios registrados en Tumblr.

En un comunicado la empresa declaró: “Si aparecía un blog en el módulo de Blogs recomendados, era posible, usando software de depuración de cierta manera específica, conseguir visualizar cierta información de cuenta asociada con el blog recomendado”.

En otras palabras, su cuenta solamente podría verse afectada si se recomendara a algún usuario malicioso a través de la función vulnerable.

La empresa no ha podido determinar específicamente qué cuentas fueron recomendadas a través de la función vulnerable, por lo que no puede estimar el número de usuarios afectados, pero ha declarado que este bug se presentó con muy poca frecuencia.

Tumblr también aseguró que su investigación interna no encontró evidencia de algún atacante haya explotado la falla. “Nuestra misión es proveer un espacio seguro para que las personas se expresen libremente y formen comunidades en torno a las cosas que más disfrutan”, dice Tumblr. “Creemos que este error podría haber afectado la experiencia de los usuarios. Queremos ser transparentes con ustedes respecto. Desde nuestro punto de vista, es simplemente lo correcto”.

Este incidente se produce menos de una semana después de que Facebook anunciara la más grave violación de seguridad que haya experimentado, suceso que permitió a los hackers robar información personal de más de 30 millones de usuarios en todo el mundo.

Además, hace poco más de una semana, Google anunció el cierre de su red social, Google+, luego de una violación masiva de datos que expuso información privada de cientos de miles de usuarios de Google+ a desarrolladores externos.

Asimismo, expertos en forense digital del Instituto Internacional de Seguridad Cibernética reportaron incidente de violación de seguridad similar en Twitter, en el que una falla de la API expuso inadvertidamente los mensajes directos (DM) y tweets protegidos de más de 3 millones de personas a desarrolladores de aplicaciones no autorizados.

Tags: