Tumblr promet qu'il a corrigé un bug qui laissait les données utilisateur exposées

Tumblr dit avoir résolu un bogue sur son site qui pourrait potentiellement avoir révélé des données utilisateur.

La société basée à New York a déclaré mercredi 17 octobre qu'elle avait «des informations importantes» qu'elle souhaitait partager, avant de continuer à expliquer la faille de sécurité.

Premièrement, il tenait à préciser qu’à ce jour, il n’avait aucune preuve concrète que des données avaient été volées. Dans le même temps, la société a promis que le problème avait été résolu et qu'aucune action - telle que la modification des mots de passe de compte - n'était requise de la part des utilisateurs.

Alors, qu'est-ce-qu'il s'est passé? Selon la plate-forme de blogging, un chercheur en sécurité a signalé le problème il y a plusieurs semaines via le programme de primes aux bogues de Tumblr. Les ingénieurs ont résolu le problème en une demi-journée, et depuis lors, la société a pris des mesures pour améliorer les procédures de surveillance et d'analyse afin de l'aider à identifier et à corriger les bogues similaires à l'avenir.

La faille en question était liée à la fonctionnalité «blogs recommandés» sur la version de bureau de Tumblr. Les blogs recommandés sont alimentés par un algorithme qui affiche une courte liste rotative de blogs d'autres utilisateurs de Tumblr susceptibles de vous intéresser, et n'apparaît que pour les personnes connectées au site Tumblr.

Selon Tumblr, si le blog d'un utilisateur apparaissait dans ce module, il était possible, en «utilisant un logiciel de débogage d'une certaine manière», d'afficher certaines informations du compte de cet utilisateur.

"Nous n'avons trouvé aucune preuve que ce bogue a été abusé, et rien ne suggère que des informations de compte non protégées aient été consultées", a déclaré la société.

Il a ajouté qu'il ne pouvait pas être sûr des comptes spécifiques affectés par la faille de sécurité, mais a déclaré que, grâce à sa propre analyse, «le bogue était rarement présent».

Au pire, il est possible que certaines informations de compte utilisateur aient pu être consultées, y compris les adresses e-mail, les mots de passe cryptés des comptes Tumblr, l'emplacement auto-déclaré (une fonctionnalité qui n'est plus disponible), les adresses e-mail précédemment utilisées, la dernière adresse IP de connexion et le nom du blog lié au compte.

La société a déclaré qu'elle souhaitait être transparente avec sa communauté sur la faille de sécurité, même si elle est convaincue qu'aucune donnée utilisateur n'a été volée pendant que le bogue était en direct. Cependant, il ne fait aucun doute que Tumblr surveillera la situation de près pour s'assurer que ses hypothèses sont correctes.

Pas le premier, ne sera pas le dernier…

Tumblr n'est certainement pas le premier service de médias sociaux à être impliqué dans un problème lié à la sécurité en ligne. Ce n'est que récemment que Facebook a révélé une vulnérabilité de sécurité qui donnait aux pirates la possibilité de prendre le contrôle de 30 millions de comptes, tandis que Twitter a déclaré en septembre qu'il avait éliminé un bogue de sécurité qui faisait fuir des messages directs entre les utilisateurs. Et puis il y a Google+, qui a déclaré la semaine dernière qu'une faille avait permis aux pirates d'accéder à des informations personnelles liées à jusqu'à un demi-million de comptes. Le géant du Web a déclaré qu'à la suite du piratage et en raison du manque d'intérêt des utilisateurs pour la plate-forme, il prévoyait de fermer complètement Google+ d'ici août 2019.