Durante la noche del 16 al 17 de julio, en Tumblr han estado muy ocupados y nerviosos, porque nada más ver que su aplicación para iPhone y para iPad estaba actualizada y en la App Store, Tumblr ha emitido un comunicado urgente pidiendo a todos los usuarios de esta… ¿red social de publicación? que actualizasen la aplicación lo antes posible, además de cambiar la contraseña de Tumblr y en cualquier otro servicio en el que uses esta misma contraseña.
Aunque la nota de Tumblr en su propio blog no daba información alguna de que problema de seguridad ha tenido esta aplicación, en The Register confirman que ha sido uno de los problemas de seguridad más estúpidos posibles: Tumblr enviaba las contraseñas en texto plano, sin cifrar.
Esto es cuanto menos, denunciable. Tumblr, servicio recientemente adquirido por Yahoo!, se centra en ofrecer una plataforma sencilla para la publicación de todo tipo de contenido, bajo una capa social en la que cualquiera puede seguir a otros tumblelogs y “rebloguear” contenido. Su aplicación para iPad y para iPhone han sido muy aclamadas por su diseño, incluso propuestas como ejemplo por campañas de publicidad de Apple, pero parece que la seguridad no ha sido uno de los puntos fuertes a mejorar en Tumblr.
La persona que descubrió este fallo de seguridad logró verlo gracias a que estaba investigando la seguridad de ciertas apps para saber si se pueden usar a nivel empresarial. Para su sorpresa, comprobó que con una aplicación tan sencilla de usar para escanear el tráfico de una red como es Wireshark, la contraseña se enviaba en texto plano, sin cifrar.
En cuanto Tumblr fue avisado de este fallo actualizaron la aplicación que ya está disponible en la App Store, pero sin duda deja una muy seria duda de la seguridad en Tumblr, un servicio usado por millones de personas y que ahora es subsidiaria de Yahoo.
Aunque altamente improbable, para que tu contraseña fuese robada en Tumblr para iOS debiste estar conectado a una Wi-Fi abierta donde alguien debía estar escaneando la red en busca de información.