Как сообщается Tumblr в их блоге штата, они исправили ошибку безопасности, которая позволила нападавшим рассматривать сведения об аккаунте пользователей, которым показали их блоги в Рекомендуемом модуле Блогов веб-сайта.

Tumblr также говорила, что нет никаких доказательств, что вопрос безопасности на самом деле использовался любыми подлецами, чтобы украсть информацию и что к любым «незащищенным сведениям об аккаунте получили доступ», пока проблема не была решена.

Ошибка безопасности позволила бы нападавшим рассматривать и красть «адрес электронной почты, защищенный (крошивший и соленый) пароль аккаунта в Tumblr, самосообщило местоположение (больше доступная особенность), ранее использовал адреса электронной почты, последний IP-адрес логина и название блога, связанного со счетом».

Даже при том, что это не означает много, учитывая, что есть хорошая случайная Tumblr, могло очень хорошо быть неправильным в зависимости от механизмов контроля, которые они имеют в распоряжении, это все еще похвально, что они публично раскрыли исправление ошибки безопасности и возможное воздействие пользовательских данных.

О проблеме сообщила через щедрость ошибки и устранила команда разработки безопасности Tumblr в течение 12 часов после первоначального сообщения.

Вопрос безопасности позволил бы нападавшим адресам электронной почты, крошившим и посолившие пароли, больше

«Ошибка была в “Рекомендуемых Блогах” особенность на настольной версии Tumblr. “Рекомендуемые Блоги” модуль показывают короткий, вращающийся список блогов других пользователей, которые могут представлять интерес и появляются только для вошедших пользователей», было сказано в Tumblr. «Если блог появился в модуле, это было возможно, используя отладку программного обеспечения определенным способом, чтобы рассмотреть определенные сведения об аккаунте, связанные с блогом».

Согласно их сообщению в блоге, команда Tumblr не смогла найти любые счета конкретно предназначенными или поставившими под угрозу подлецами, использующими фиксированный вопрос безопасности.

Общественное раскрытие Tumblr - то, что Google должен был сделать после обнаружения вопроса безопасности API Google+, который привел к утечкам данных, затрагивающим 500 000 профилей.

Они нашли об этом в марте 2018, но приняли решение не раскрыть его публично до 8 октября, потому что они «не нашли доказательств, что любой разработчик знал об этой ошибке или злоупотреблял API, и мы не нашли доказательств, что любые данные о Профиле неправильно использовались».