Представители блогинговой платформы Tumblr рассказали о баге, из-за которого личные данные пользователей подвергались опасности. Проблема скрывалась в коде виджета Recommended Blogs («Рекомендованные блоги»), отображавшемся лишь в десктопной версии платформы. Данный виджет был видим только залогиненным пользователям и, как понятно из его названия, отображал список блогов, которые могут заинтересовать пользователя.
Как стало известно теперь, «было возможно определенным образом использовать отладочное ПО и с его помощью просматривать различную информацию об учетных записях» для блогов перечисленных в списке Recommended Blogs. К сожалению, более подробные технические детали проблемы пока не разглашаются.
Разработчики объясняют, что третья сторона могла узнать как текущие email-адреса пользователей, так и ранее использованные; извлечь соленые и хешированные пароли от аккаунтов Tumblr; данные о местоположении, указанные самим пользователем; узнать последний IP-адрес, с которого осуществлялся вход в учетную запись; а также имя блога, ассоциирующегося с аккаунтом.
Представители Tumblr пишут, что провели тщательное расследование и не выявили никаких следов эксплуатации бага, то есть данные пользователей, похоже, никто не воровал. Также сообщается, что не удалось определить конкретные учетные записи, которых могла коснуться эта проблема, но подчеркивается, что уязвимость проявлялась довольно редко.
В настоящее время баг уже был исправлен. Сообщается, что проблему в коде заметил неназванный ИБ-специалист, сообщивший об этом через официальную bug bounty программу платформы.