iOSでTumblr使ってる方、アップデートを! パスワード漏洩の危険が発覚

iOSでTumblr使ってる方、アップデートを! パスワード漏洩の危険が発覚 1

平文で流れてました。

Tumblrで、iOS経由のユーザーのパスワードがハッカーから簡単に盗み見られる状態にあったことが発覚しました。具体的にどういう状態だったかというと、iOSからログインするとき、アクセスすべきSSLサーバーにアクセスしてなくて、ID・パスワードが暗号化されない素のテキストになっていたんです。いつからその状態だったのかは不明なままです。ちなみにパソコン経由の場合は、ちゃんと暗号化されていたそうです。

暗号化していなければ、ネットワーク上のトラフィックを盗み見された場合、簡単にID、パスワードも盗まれてしまうってことです。トラフィックの盗み見なんて普通はしませんが、知識のある人が暗号化していないカフェとか公共施設のWi-Fiホットスポットみたいなところでツールを使えば、あっさりできてしまいます。Tumblrアカウントに、FacebookとかTwitterとかメールのアカウントと同じパスワードを使っている場合、被害はより大きくなります。

Tumblrは公式ブログでこの間違いを認め、この点を修正したアップデートをすぐに公開しました。また、iOSデバイスでTumblrにログインしたことのあるユーザーに対し、パスワード変更を求めてもいます。

ちなみにこの問題が発覚したのは、あるユーザーが、Tumblrアプリが会社の業務用に使える安全なものかどうか検証していたときのことでした。彼はすぐにTumblrのサポートチームに連絡したんですが、きちんと取り合ってもらえなかったので、問題を周知すべくThe Registerに情報提供しました。The Registerの記事が公開されてからようやくTumblrが非を認めて、アップデートを公開したんです。

アプリの接続先サーバを間違ったまま気づかなかったり、サポートの対応ものれんに腕押しだったり、Tumblrの会社としての若さというか未熟さも感じられます。これから、彼らを買収したヤフーによって、Tumblrが(またはヤフーが)成長していけるのかどうかは興味深いところです。

Tumblr via The Register、Image via Flickr/Romain Toornier

Adam Clark Estes(原文/miho)