Tumblr Menjanjikan Itu Memperbaiki Bug Yang Membuat Data Pengguna Terkena

Tumblr mengatakan telah menyelesaikan bug di situsnya yang berpotensi mengungkap data pengguna.

Perusahaan yang berbasis di New York itu mengatakan pada Rabu, 17 Oktober bahwa mereka memiliki "beberapa informasi penting" yang ingin dibagikan, sebelum menjelaskan tentang cacat keamanan.

Pertama, ingin menjelaskan bahwa sejauh ini tidak ada bukti konkret bahwa ada data yang dicuri. Pada saat yang sama, perusahaan berjanji bahwa masalah tersebut telah diselesaikan dan tidak ada tindakan - seperti mengubah sandi akun - yang diperlukan atas nama pengguna.

Jadi apa yang terjadi? Menurut platform blogging, seorang peneliti keamanan melaporkan masalah ini beberapa minggu lalu melalui program bug bounty Tumblr. Insinyur memperbaiki masalah dalam waktu setengah hari, dan sejak itu perusahaan telah mengambil langkah-langkah untuk meningkatkan prosedur pemantauan dan analisis untuk membantunya mengidentifikasi dan memperbaiki bug serupa di masa mendatang.

Cacat tersebut terkait dengan fitur "blog yang direkomendasikan" pada Tumblr versi desktop. Blog yang direkomendasikan diberdayakan oleh algoritme yang menampilkan daftar singkat dan berputar dari blog oleh pengguna Tumblr lain yang mungkin menarik, dan hanya muncul untuk orang yang masuk ke situs Tumblr.

Menurut Tumblr, jika blog pengguna muncul di modul ini, dimungkinkan, dengan "menggunakan perangkat lunak debugging dengan cara tertentu", untuk melihat beberapa informasi akun pengguna tersebut.

“Kami tidak menemukan bukti bahwa bug ini telah disalahgunakan, dan tidak ada yang menunjukkan bahwa informasi akun yang tidak dilindungi telah diakses,” kata perusahaan itu.

Ia menambahkan bahwa tidak dapat memastikan akun tertentu mana yang terpengaruh oleh kelemahan keamanan, tetapi mengatakan bahwa melalui analisisnya sendiri, "bug jarang ada".

Kemungkinan terburuk, informasi akun pengguna tertentu mungkin telah dilihat, termasuk alamat email, kata sandi akun Tumblr yang dienkripsi, lokasi yang dilaporkan sendiri (fitur yang tidak lagi tersedia), alamat email yang digunakan sebelumnya, alamat IP login terakhir, dan nama blog yang ditautkan ke akun.

Perusahaan mengatakan ingin transparan dengan komunitasnya tentang kelemahan keamanan, meskipun yakin tidak ada data pengguna yang dicuri saat bug itu hidup. Namun, ini masih awal, jadi tidak diragukan lagi Tumblr akan memantau situasi dengan cermat untuk memastikan bahwa asumsinya benar.

Bukan yang pertama, bukan yang terakhir…

Tumblr jelas bukan layanan media sosial pertama yang terlibat dalam masalah terkait keamanan online. Baru-baru ini, Facebook mengungkapkan kerentanan keamanan yang memberi peretas kesempatan untuk mengendalikan sebanyak 30 juta akun, sementara Twitter mengatakan pada bulan September telah membasmi bug keamanan yang membocorkan pesan langsung antar pengguna. Dan kemudian ada Google+, yang mengatakan minggu lalu bahwa cacat telah memberi peretas akses ke informasi pribadi yang ditautkan ke hingga setengah juta akun. Raksasa web itu mengatakan bahwa setelah peretasan, dan karena kurangnya minat di antara pengguna di platform, ia berencana untuk sepenuhnya menutup Google+ pada Agustus 2019.