最新的Tumblr Bug提醒我們擁有強密碼是多麼重要

儘管Tumblr很少像Facebook或Twitter那樣吸引媒體關注，但它一直是全球主要的微博/社交網絡平台之一。它為數億用戶提供了分享想法和內容的機會，或者只是浪費時間。當他們在桌面瀏覽器上登錄他們的帳戶時，這些用戶會看到一個相當方便的“推薦博客”列表，顧名思義，該列表應該作為他們可能感興趣的博客的快捷方式。事實證明，直到最近，它還作為一些通常應保密的數據的快捷方式。

昨天，Tumblr的員工宣布他們修補了一個相當嚴重的安全漏洞。顯然，使用調試軟件，可以攻擊“推薦博客”小部件並獲取用戶的密碼，電子郵件和IP地址，博客標題和位置數據。

細節很少

這個漏洞是由安全研究人員發現的，並通過微博平台的bug賞金計劃私下披露。在他們的帖子中，Tumblr的人沒有給安全專家起名，他們決定不說獎金是否得到了回報。他們所指出的是，在私人披露的12小時內，漏洞被修補了。

關於這個bug的說法也不多。例如，我們不知道瀏覽器內置的開發人員工具是否足以利用該漏洞，或者是否需要更專業的程序。也沒有關於攻擊有多麼困難的信息。

Tumblr說，沒什麼好擔心的

根據昨天的消息，很難忽視Tumblr歸誓言所有這一事實。對於那些不知道的人來說，誓言是雅虎的新名字！ - 曾經遭受過網絡攻擊的電子郵件提供商，該網絡攻擊使其30億用戶全部受損。值得慶幸的是，這一次，這種毀滅性的結果是不可能的。

事實上，Tumblr的帖子暗示問題並不是那麼大。微博平台的安全人員表示，他們不知道有多少用戶受到了這個漏洞的影響，但他們確實指出它“很少出現”。更重要的是，沒有發現任何人暗示有人積極利用漏洞，並且他們還解釋說，用戶的密碼，即可能暴露的最敏感的信息，已被散列和醃製 ，理論上，這意味著他們無法不能變成他們的明文形式。

總而言之，Tumblr的人說透明度是披露錯誤的唯一原因，用戶不需要更改密碼或做任何其他事情。但是，我們並不那麼確定。

事實上，如果要相信Tumblr的博客文章，這個特殊的安全漏洞不會影響任何人。然而，下一次在線服務易受攻擊時，安全漏洞可能不是由研究人員發現的，而是由黑客發現的。下一次，密碼可能不會被醃製和散列。

正如我們上週提到的那樣，相信您註冊的每個在線平台都足以保護您的數據並不是一個好主意. 因此，雖然您可能會感謝Tumblr的誠實，但您也應該將該錯誤視為已知和未知的安全漏洞無處不在的證據。採取預防措施可以在發生潛在破壞時限制損壞，這比在發生破碎後更容易拾取碎片。為您的所有帳戶提供強大，唯一的密碼只是一個這樣的預防措施 。