Брешь позволяла похитить данные пользователей
В чем проблема?
Администрация блог-платформы Tumblr сообщила, что в рамках программы выплаты вознаграждений за нахождение уязвимостей специалист (имя не называется) поделился информацией об уязвимости в web-интерфейсе для десктопных решений, при помощи которой было возможно похищение конфиденциальных данных.
Проблема затрагивает код, который отвечает за кнопку "Рекомендуемые блоги". Этот элемент интерфейса виден только авторизованным пользователям и показывает список блогов, которые могут быть интересны. При помощи ПО для отладки можно просматривать информацию из блогов, указанную в списке рекомендуемых.
Если быть точным, то хакеры могли видеть такие данные пользователей как:
- Электронные адреса,
- Пароли,
- Данные о местоположении.
Установить затронутые учетные записи не удалось, однако специалисты Tumblr утверждают, что проблема встречалась довольно редко. Спустя 12 часов после новости о существующем баге, брешь была исправлена.
