טאמבלר אומר שהיא סידרה באג באתר שלה שעלול לחשוף נתוני משתמשים.
החברה שבסיסה בניו יורק אמר ביום רביעי, 17 באוקטובר, שיש לו "מידע חשוב" שהוא רצה לשתף, לפני שהמשיך להסביר על ליקוי האבטחה.
סרטונים מומלצים
ראשית, היא רצתה להבהיר שעד כה לא היו לה ראיות קונקרטיות לכך שנגנבו נתונים כלשהם. במקביל, החברה הבטיחה שהבעיה נפתרה ולא נדרשה כל פעולה - כמו החלפת סיסמאות לחשבון - מטעם המשתמשים.
קָשׁוּר
- ייתכן שתוספי Chrome עם 1.4 מיליון משתמשים גנבו את הנתונים שלך
- עדכון iOS 15.3 של אפל מתקן באג אבטחה קריטי ב-Safari
- חוקרים מוצאים פגיעות נתונים מפחידה ב-AirDrop של אפל
אז מה קרה? לפי פלטפורמת הבלוגים, חוקר אבטחה דיווח על הבעיה לפני מספר שבועות באמצעות Tumblr's תוכנית הבאונטי באגים. המהנדסים תיקנו את הבעיה תוך חצי יום, ומאז החברה נקטה בצעדים לשיפור נוהלי הניטור והניתוח כדי לעזור לה לזהות ולתקן באגים דומים בעתיד.
הפגם המדובר היה מקושר לתכונת "בלוגים מומלצים" בגרסת שולחן העבודה של טאמבלר. בלוגים מומלצים מופעלים על ידי אלגוריתם המציג רשימה קצרה ומסתובבת של בלוגים של משתמשי Tumblr אחרים שעשויים לעניין, ומופיע רק עבור אנשים שנכנסו לאתר Tumblr.
לפי Tumblr, אם בלוג של משתמש הופיע במודול זה, ניתן היה, על ידי "שימוש בתוכנת ניפוי באגים בצורה מסוימת", לצפות בחלק מפרטי החשבון של אותו משתמש.
"לא מצאנו ראיות לכך שהבאג הזה נוצל לרעה, ואין שום דבר שמצביע על כך שנכנסה למידע חשבון לא מוגן", אמרה החברה.
היא הוסיפה כי היא לא יכולה להיות בטוחה אילו חשבונות ספציפיים הושפעו מליקוי האבטחה, אך אמרו כי דרך הניתוח שלה, "הבאג היה קיים רק לעתים רחוקות".
במקרה הגרוע ביותר, ייתכן שניתן היה לצפות במידע מסוים על חשבון משתמש, כולל כתובות דוא"ל, סיסמאות מוצפנות לחשבון Tumblr, מיקום בדיווח עצמי (תכונה שאינה זמינה עוד), כתובות דוא"ל שנעשה בהן שימוש בעבר, כתובת ה-IP האחרונה לכניסה, ושם הבלוג המקושר ל- חֶשְׁבּוֹן.
החברה אמרה שהיא רוצה להיות שקוף עם הקהילה שלה לגבי ליקוי האבטחה, למרות שהיא בטוחה שלא נגנבו נתוני משתמש בזמן שהבאג היה פעיל. עם זאת, מדובר בימים הראשונים, כך שאין ספק ש-Tumblr יעקוב אחר המצב מקרוב כדי להבטיח שההנחות שלו נכונות.
לא הראשון, לא יהיה האחרון…
טאמבלר בהחלט אינו שירות המדיה החברתית הראשון שמסתבך בבעיה הקשורה לאבטחה מקוונת. רק לאחרונה, פייסבוק חשף פגיעות אבטחה שנתנה להאקרים את ההזדמנות להשתלט עליה עד 30 מיליון חשבונות, בעוד טוויטר אמרה בספטמבר שהיא מעכה באג אבטחה ש הודעות ישירות דלפו בין משתמשים. ואז יש את Google+, שאמרה בשבוע שעבר שפגם נתן להאקרים גישה למידע אישי המקושר אליו עד חצי מיליון חשבונות. ענקית האינטרנט אמרה כי בעקבות הפריצה, ובגלל חוסר עניין בקרב משתמשים בפלטפורמה, היא מתכננת לסגור לחלוטין את Google+ עד אוגוסט 2019.
המלצות עורכים
- ייתכן שבאג חדש של וורדפרס הותיר 2 מיליון אתרים פגיעים
- נתונים אישיים של 69 מיליון משתמשי Neopets מוצעים כעת למכירה לאחר הפרת נתונים
- עדכון קריטי ל-Mac מתקן באג ב-Safari שמדליף נתוני משתמש
- שבע אפליקציות VPN שהואשמו בחשיפת יותר מטרה-בייט של נתונים פרטיים
- יש ליקוי אבטחת אנדרואיד בלוטוס גדול. הנה איך לתקן את זה
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
