La plateforme de microblogging annonce avoir découvert un bug exposant ses utilisateurs à des risques de fuite de données. Si l’entreprise indique que rien ne prouve que cette faille ait été exploitée, elle s’est empressée de la corriger et de notifier toute personne concernée.
C’est dans le cadre de son programme de bug bounty que Tumblr, propriété de Verizon, a été informé de l’existence d’un bug sur sa plateforme. Dans sa version desktop, la fonctionnalité Blogs Recommandés du site de microblogging affiche une liste de pages susceptibles d’intéresser les utilisateurs connectés. Mais aussi de laisser fuiter les données des créateurs de ces blogs.
Tumblr explique que par le biais de « logiciels de debugging », très probablement, la console développeur du navigateur ou l’outil d’inspection d’une page web, il était possible « de voir certaines informations de comptes associées au blog ». Ce qui comprend l’adresse mail de la personne à l’origine de la page, le mot de passe de son compte Tumblr « haché-salé », la localisation renseignée, les anciennes adresses mails ainsi que la dernière adresse IP ayant servi à se connecter.
Verra-t-on des données mises en vente dans trois ans ?
Autant d’informations que les créateurs de blogs ne veulent pas voir tomber entre toutes les mains. Et on se rappellera que suite à un précédent piratage en 2013, les données de 65 millions de comptes Tumblr sont dans la nature (ou plus exactement ont été mis en vente en 2016 sur une marketplace accessible via Tor). Cette fois-ci, la plateforme a pris les devants, corrigeant le bug « dans les 12 heures suivant l’alerte » et publiant dans la foulée l’information sur son blog.
L’entreprise explique avoir étudié « de manière approfondie » ce bug et n’avoir trouvé aucune preuve d’une exploitation malveillante de la faille. « Rien n'indique que des informations de compte non protégées aient été consultées » précise Tumblr, qui ajoute ne pas être en mesure de savoir quels comptes ont pu être affectés, mais ajoute que ce bug était « rarement présent ».