Tumblr publicó hoy un informe que admite la presencia de una vulnerabilidad de seguridad en su sitio web que podría haber permitido a ciberdelincuentes robar credenciales de inicio de sesión y otra información privada de las cuentas de los usuarios.
La información afectada incluía direcciones de correo electrónico de los usuarios, contraseñas de cuentas protegidas, ubicación autorreportada (una función que ya no está disponible), direcciones de correo electrónico utilizadas anteriormente, direcciones IP de último inicio de sesión y nombres del blog asociado a cada cuenta.
Según la compañía, un investigador de seguridad descubrió una vulnerabilidad crítica en la versión de escritorio de su sitio web y lo informó al equipo de seguridad de Tumblr de manera responsable a través de su programa de recompensas de errores.
Aunque la compañía no ha revelado el nombre del investigador ni ningún detalle técnico sobre la vulnerabilidad, Tumblr reveló que la falla residía en la función "Blogs recomendados" de su sitio web.
Los blogs recomendados han sido diseñados para mostrar una lista corta y rotatoria de blogs de otros usuarios que pueden ser de su interés. La característica aparece solo para usuarios registrados.
En resumen, su cuenta solo podría verse afectada si se recomendara a algunos atacantes a través de la función vulnerable.
La empresa no puede determinar qué cuentas específicas se recomendaron a través de la función vulnerable, por lo que no puede revelar el número de usuarios afectados, pero concluye que "el error rara vez estaba presente".
