وصله کردن نقص افشاسازی اطلاحات حساب کاربران در Tumblr

Tumblr در تاریخ ۱۷ اکتبر ۲۰۱۸ یک گزارش داد[۱] که در آن به حضور یک آسیب‌پذیری امنیتی در وب‌سایت خود اعتراف کرد که می‌تواند هکرها را مجاز به سرقت گواهی‌نامه‌ها و سایر اطلاعات خصوصی حساب‌های کاربران کند.

اطلاعات آسیب‌دیده حاوی آدرس‌های ایمیل کاربران، گذرواژه‌های حساب‌های کاربری محافظت شده (hash شده و salt شده)، موقعیت خود گزارش شده^(۱) (این ویژگی دیگر در دسترس نیست)، آدرس‌های پست الکترونیک مورد استفاده در قبل، آخرین آدرس‌های IP ورود به سیستم و نام وبلاگ‌های مرتبط با هر حساب کاربری هستند.

به گفته این شرکت، یک محقق امنیتی یک آسیب‌پذیری بحرانی را در نسخه دسکتاپ وب‌سایت این شرکت کشف کرده است و از طریق برنامه bug bounty این شرکت، این آسیب‌پذیری را به تیم امنیتی Tumblr گزارش داده است.

اگر چه این شرکت اسم این محقق یا جزئیات فنی مربوط به این آسیب‌‌پذیری را افشا نکرده است، اما وبلاگ Tumblr اعلام کرده است که این نقص در ویژگی “وبلاگ‌های توصیه شده^(۲)” در وب‌سایت این شرکت قرار دارد.

وبلاگ‌های توصیه شده برای نمایش یک لیست کوتاه و متناوب از وبلاگ‌های دیگر کاربران طراحی شده‌اند که ممکن است مورد توجه قرار گیرند. این ویژگی تنها برای کاربران وارد شده در نظر گرفته می‌شود.

Tumblr می‌گوید:

“اگر یک وبلاگ در این ماژول ظاهر شود، ممکن است با استفاده از نرم‌افزار اشکال زدایی و به نحوی خاص، اطلاعات خاص حساب کاربری مربوط به این وبلاگ را مشاهده کند.”

به طور خلاصه، حساب شما تنها زمانی می‌تواند در معرض این آسیب‌پذیری قرار گیرد که به برخی از مهاجمین از طریق این ویژگی آسیب‌پذیر توصیه شود.

این شرکت نمی‌تواند مشخص کند که کدام یک از حساب‌های کاربری خاص از طریق این ویژگی آسیب‌پذیر توصیه شده‌اند، بنابراین نمی‌تواند تعداد کاربران آسیب‌دیده را افشا کند، اما نتیجه می‌گیرد که «این اشکال به ندرت وجود داشته است».

Tumblr همچنین به کاربران خود اطمینان داد که تحقیقات داخلی آن هیچ شواهدی در مورد اینکه یک مهاجم از این آسیب‌پذیری استفده کرده باشد، نشان نداده است.

Tumblr می‌گوید: “مأموریت ما ایجاد یک فضای امن برای مردم است که آزادانه نظرات خود را بیان کنند و جوامعی را پیرامون چیزهایی که دوست دارند، تشکیل دهند. ما احساس می‌کنیم که این اشکال می‌تواند این تجربه را تحت تأثیر قرار داده باشد. ما می‌خواهیم با شما در مورد آن شفاف باشیم. به نظر ما، این کار درست است.”

افشای Tumblr کمتر از یک هفته پس از اعلام فیس‌بوک مبنی بر بدترین رخنه امنیتی در آن شرکت[۲]، انجام شد که به مهاجمان اجازه می داد تا اطلاعات شخصی، از جمله tokenهای دسترسی مخفی را برای ۳۰ میلیون کاربر، سرقت کنند[۳].

همچنین، بیش از یک ماه پیش، گوگل اعلام کرد که شبکه اجتماعی خود را پس از رخنه گسترده اطلاعات، که داده‌های خصوصی صدها هزار کاربر Google Plus را به توسعه‌دهندگان شخص ثالث نشان داده بود، بسته است [۴].

در اوایل ماه گذشته، توییتر نیز حادثه امنیتی مشابهی را گزارش داد که در آن یک نقص API ناخواسته پیام‌های مستقیم^(۳) را افشا می‌کرد[۵] و توییت‌های محافظت شده‌ی بیش از ۳ میلیون نفر را برای توسعه‌دهندگان نرم‌افزارهای غیر مجاز آشکار کرده بود.

 منابع

[۱] https://staff.tumblr.com/post/179147472085/being-transparent-about-security-bugs

[۲] https://thehackernews.com/2018/09/facebook-account-hack.html

[۳] https://thehackernews.com/2018/10/hack-facebook-account.html

[۴] https://thehackernews.com/2018/10/google-plus-shutdown.html

[۵] https://thehackernews.com/2018/09/twitter-direct-message-api.html

[۶] https://thehackernews.com/2018/10/tumblr-account-hacking.html

(۱) self-reported
(۲) Recommended Blogs
(۳) direct messages (DMs)