Tumblr修復洩露私人賬戶資訊的安全漏洞
Tumblr“部落格推薦”功能中存在的漏洞已得到修復,該漏洞會洩露“部落格推薦”相關博主的私人資訊。
“ 部落格推薦”功能為登陸使用者推薦一系列其可能感興趣的部落格。下面是“部落格推薦”功能的一個頁面。
Tumblr“部落格推薦”功能
據Tumblr稱, 某安全研究員通過Tumblr漏洞賞金專案披露了該漏洞,Tumblr工程團隊在該漏洞被報告後的12小時內修復了該漏洞 。
登陸使用者可通過除錯工具,檢視“推薦部落格”列表上每個部落格博主的IP地址、電子郵箱地址、雜湊過的密碼等私人賬戶資訊。Tumblr聲稱, 目前尚無證據顯示該漏洞曾遭黑客利用。其還表示,該漏洞十分罕見 。
據Tumblr安全披露稱:“我們無法確定具體有哪些賬戶存在這些漏洞,但據分析,該漏洞並不常見。當某使用者賬戶出現該漏洞時,其電子郵箱地址、Tumblr賬戶受保護的密碼(即雜湊的、加鹽的密碼)、自我報告的位置(該功能已不可用)、曾用電子郵件地址、最近登陸IP地址及與該賬戶關聯的部落格名等賬戶資訊都可能遭到洩露”。