ブログプラットフォームのTumblrは月曜日、iPhoneおよびiPad向けアプリのセキュリティ上の欠陥、つまりユーザー名とパスワードを平文で送信することでユーザーのアカウントを危険にさらす脆弱性を修正した。
しかし、欠陥を発見したIT担当者はこう語る。タンブラーは当初彼の情報を無視し、2週間後に技術ブログがコメントを求めてTumblrに連絡した後にのみ脆弱性を修正した。
同社の過失は、Tumblrがバグを警告されてから2週間にわたり、何百万人ものTumblr iOSユーザーが攻撃やアカウントハイジャックにさらされたことを示唆している。 (Android 用 Tumblr アプリは影響を受けません。)
「昨日、TumblrはiOSアプリにセキュリティ上の脆弱性が導入されたことを通知されました」とTumblrの広報担当者は電子メールでTechNewsDailyに語った。 「私たちは問題を修正するアップデートを直ちにリリースし、影響を受けるユーザーに通知しています。私たちは明らかにこれらの事件を非常に深刻に受け止めており、今回のエラーを深く遺憾に思っています。」
Mac、PC、または Android デバイスから Tumblr にログインする場合、ユーザーのログイン資格情報は暗号化された接続を使用して送信されるため、個人情報窃盗やハッカーが次の方法で「盗聴」することはできません。一般的に入手可能なソフトウェア。
しかし、昨夜まで、Tumblr iOS アプリのユーザーは、自分のユーザー名とパスワードをプレーン テキストで送信し、同じネットワーク上の他のユーザーが読み取ることができました。
「カフェ、ホテルのロビー、空港ラウンジなどでiPhoneやiPadからTumblrにログインしたことがあれば、パスワードが漏洩した可能性がある」と英国の独立系セキュリティコンサルタント、グラハム・クルーリー氏は昨日のブログで書いた。
欠陥、英国のテクノロジーブログ「The Register」が報じた。今朝、雇用主のためにいくつかの iOS アプリをテストしていた Register 読者によって発見されました。
「職場でさまざまな iOS アプリを調査して、それらが会社での使用に適しているかどうかを確認するよう頼まれた」と The Register の情報筋は述べ、この欠陥に遭遇した経緯を説明した。 「Tumblr iOS アプリは、SSL (安全なプロトコル) ではなく、プレーン テキストでパスワードを送信しています。私たちはパスワードのリマインダーについて話しているのではなく、単にアプリを開いて iOS アプリを通じてログインすることについて話しているのです。」
その後の話でThe Registerは名前を明かさなかったこの男性は、2週間前にTumblrにこの欠陥について通知したが、iOSアプリの実際の動作をより適切に反映するためにTumblrが利用規約を調整するという保証しか受け取らなかったと述べた。
Tumblrがアプリにパッチを適用することに失敗した後、IT担当者はRegisterに連絡し、昨日、Tumblrとその親会社であるYahooにコメントを求めた。
月曜日の終わりまでに、Tumblr公式メッセージを投稿しました同社は「特定の状況でパスワードが侵害される可能性がある問題に対処する、iPhone および iPad アプリ向けの非常に重要なセキュリティ アップデートをリリースしたところだ」と述べた。
Tumblrはまた、これらのアプリのユーザーに対し、Tumblrや同じパスワードを使用している他のサイトでパスワードを更新するよう呼び掛けた。この投稿では、The Register またはその密告者がセキュリティ上の懸念を Tumblr に知らせたことを認めていません。