Tumblr sier at det har sortert ut en feil på nettstedet som potensielt kan ha avslørt brukerdata.
Det New York-baserte selskapet sa onsdag 17. oktober at det hadde "noen viktige opplysninger" som det ønsket å dele, før de fortsatte med å forklare om sikkerhetsfeilen.
Først ønsket den å gjøre det klart at det hittil ikke hadde noen konkrete bevis for at data var stjålet. Samtidig lovet selskapet at problemet var løst, og ingen handling - som å endre passord for kontoer - var nødvendig på vegne av brukerne.
Så hva skjedde? I følge bloggplattformen rapporterte en sikkerhetsforsker problemet for flere uker siden via Tumblrs bug bounty-program. Ingeniører løste problemet innen en halv dag, og siden den gang har selskapet tatt skritt for å forbedre overvåkings- og analyseprosedyrer for å hjelpe det med å identifisere og fikse lignende feil i fremtiden.
Den aktuelle feilen var knyttet til funksjonen “anbefalte blogger” på desktopversjonen av Tumblr. Anbefalte blogger drives av en algoritme som viser en kort, roterende liste over blogger av andre Tumblr-brukere som kan være av interesse, og vises bare for personer som er logget inn på Tumblr-nettstedet.
Ifølge Tumblr, hvis en brukerblogg dukket opp i denne modulen, var det mulig å "vise feilsøkingsprogramvare på en bestemt måte" å vise noe av brukerens kontoinformasjon.
"Vi fant ingen bevis for at denne feilen ble misbrukt, og det er ingenting som tyder på at ubeskyttet kontoinformasjon ble tilgjengelig," sa selskapet.
Den la til at den ikke kunne være sikker på hvilke spesifikke kontoer som ble berørt av sikkerhetsfeilen, men sa at "feilen sjelden var tilstede gjennom sin egen analyse."
I verste fall er det mulig at viss brukerkontoinformasjon kunne ha blitt sett, inkludert e-postadresser, krypterte passord for Tumblr-kontoer, egenrapportert plassering (en funksjon som ikke lenger er tilgjengelig), tidligere brukte e-postadresser, den siste IP-adressen til innlogging, og navnet på bloggen som er knyttet til kontoen.
Selskapet sa at de ønsket å være gjennomsiktige med samfunnet om sikkerhetsfeilen, selv om de er sikre på at ingen brukerdata ble stjålet mens feilen var live. Det er imidlertid tidlige dager, så uten tvil vil Tumblr overvåke situasjonen nøye for å sikre at antagelsene er riktige.
Ikke den første, vil ikke være den siste ...
Tumblr er absolutt ikke den første sosiale medietjenesten som blir viklet inn i et problem knyttet til online sikkerhet. Bare nylig avslørte Facebook en sikkerhetssårbarhet som ga hackere sjansen til å ta kontroll over hele 30 millioner kontoer, mens Twitter i september sa at det hadde knust en sikkerhetsfeil som lekket direkte meldinger mellom brukerne. Og så er det Google+, som forrige uke sa at en feil hadde gitt hackere tilgang til personlig informasjon knyttet til opptil en halv million kontoer. Nettgiganten sa at etter hacket, og på grunn av manglende interesse blant brukere i plattformen, planlegger det å stenge Google+ helt innen august 2019.
