Tumblr : une faille qui aurait pu exposer les informations du compte de l’utilisateur

Tumblr a publié aujourd’hui un rapport reconnaissant la présence d’une faille de sécurité sur son site Web qui aurait pu permettre à des pirates informatiques de voler des informations d’identification de connexion et d’autres informations privées pour les comptes d’utilisateurs.

Les informations concernées comprenaient les adresses électroniques des utilisateurs, les mots de passe des comptes protégés (hachés et salés), la localisation déclarée (une fonctionnalité n’est plus disponible), les adresses électroniques précédemment utilisées, les dernières adresses IP de connexion et les noms du blog associés à chaque compte.

Selon la société, un chercheur en sécurité a découvert une vulnérabilité critique dans la version de bureau de son site Web et l’a signalée de manière responsable à l’équipe de sécurité de Tumblr via son programme de primes de bogues.

Bien que la société n’ait pas révélé le nom du chercheur ni des détails techniques sur la vulnérabilité, Tumblr a révélé que la faille résidait dans la fonctionnalité "Blogs recommandés" de son site Web.

Recommended Blogs a été conçu pour afficher une liste courte et rotative de blogs d’autres utilisateurs susceptibles de vous intéresser. La fonctionnalité apparaît uniquement pour les utilisateurs connectés.
Tumblr dit aussi :

"Si un blog apparaissait dans le module, il était possible, en utilisant un logiciel de débogage d’une certaine manière, d’afficher certaines informations de compte associées au blog."

En bref, votre compte ne pourrait être affecté que si cela était recommandé à un attaquant via la fonctionnalité vulnérable.

La société ne parvient pas à déterminer quels comptes spécifiques ont été recommandés via la fonctionnalité vulnérable et ne peut donc pas divulguer le nombre d’utilisateurs affectés, mais conclut que "le bogue était rarement présent".

Tumblr a également assuré que son enquête interne n’avait révélé aucune preuve d’abus commis par un attaquant.

"Notre mission est de fournir aux personnes un espace sûr où elles puissent s’exprimer librement et former des communautés autour de choses qu’elles aiment", a déclaré Tumblr. "Nous pensons que ce bogue aurait pu affecter cette expérience. Nous voulons être transparents avec vous à ce sujet. À notre avis, c’est simplement la bonne chose à faire."

La divulgation de Tumblr intervient moins d’une semaine après que Facebook a annoncé sa plus grave atteinte à la sécurité, qui permettait à des attaquants de voler des informations personnelles, y compris des jetons d’accès secrets, à 30 millions d’utilisateurs .

En outre, il y a plus d’une semaine, Google a annoncé la fermeture de son réseau de médias sociaux Google+ à la suite d’ une grave violation de données qui a exposé les données privées de centaines de milliers d’utilisateurs de Google Plus à des développeurs tiers.

À la fin du mois dernier, Twitter a également révélé un incident similaire lié à une violation de la sécurité, dans lequel une vulnérabilité d’API avait exposé par inadvertance des messages directs (DM) et des tweets protégés de plus de 3 millions de personnes à des développeurs d’applications tiers non autorisés.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image