La plataforma de publicación Tumblr, en aras de la transparencia, ha querido compartir públicamente la vulnerabilidad detectada en su versión web de escritorio y corregida a las pocas horas, sin que haya habido constancia de que haya afectado a ningún usuario.
Esta vulnerabilidad fue detectada por un investigador participante en el programa de recompensas de errores, notificando el descubrimiento a la propia plataforma semanas atrás, la cual tardó tan sólo 12 horas en ponerle solución y en mejorar los sistemas de monitorización y análisis al objeto de facilitar la detección de posibles vulnerabilidades en el futuro.
La vulnerabilidad se encontraba en el módulo «Blogs recomendados» de la versión web de escritorio, y si bien la misma «rara vez estaba presente», las investigaciones de la plataforma han concluido que no hay constancia de usuarios que pudieran ser afectados.
Dicha vulnerabilidad permitía, usando el software de depuración de cierta manera, ver la información de la cuenta del usuario asociada al blog que se estaba recomendando en el módulo señalado, donde podía quedar expuesto datos privados como la dirección de correo electrónico, la contraseña protegida, la ubicación auto-publicada, direcciones de correo electrónico utilizadas anteriormente, e incluso la IP del último inicio de sesión y el nombre del blog asociado con la cuenta, según relata la compañía.
Desde la plataforma lamentan lo sucedido aunque por suerte, según los indicios, todo ha quedado en el propio descubrimiento de la propia vulnerabilidad, que no ha llegado a más, por lo que la plataforma no está requiriendo de ninguna acción de los usuarios.