Tumblrは本日、一部のブロガーの個人情報をひそかに漏らしてしまうウェブサイトのセキュリティバグを修正したことを発表した。
これは非常に興味深いバグです。Tumblrのデスクトップ版では、ログインしたユーザーが閲覧できるおすすめブログのリストが表示されます。Tumblrによると、「デバッグソフトウェアを特定の方法で使用することで、おすすめボックスに表示されるブログに関連付けられた特定のアカウント情報を閲覧することが可能だった」とのことです。
Tumblrで言う「ソフトウェアのデバッグ」とは、ウェブブラウザの開発者コンソール、またはページソース検査機能のことを指している可能性があります。この点について、説明を求めています。
では、それぞれのおすすめブログにはどのような情報が公開されたのでしょうか? 伝えられるところによると…
つまり、Tumblrブロガーが公表したくないであろう詳細です。「このバグの影響を受けたアカウントを特定することはできませんが、分析の結果、このバグはほとんど発生していないことがわかりました」とTumblrのスタッフは付け加えました。
これは奇妙な告白だ。なぜなら、Tumblr のスタッフは、誰もこのセキュリティホールを悪用していないと信じており、バグ報奨金制度を通じて非公開で報告され、12 時間以内に修正されたからだ。
Tumblrが透明性を確保しているのは良いことですが、これが当たり前になるのでしょうか?もしFortune 1000企業がペネトレーションテスト、バグ報奨金制度、あるいは内部監査で発見されたセキュリティバグをすべて公開したら、どれほどの情報過多になるか想像できますか?おそらくそれは良いことであり、人々が求めているのは誠実さと透明性です。しかし、この慣行は、バグ発見を公表する際にネガティブな見出しを避けるため、組織がそもそも調査を躊躇してしまうのではないかと懸念されています。
PSA: セキュリティ対策がバグ報奨金で終わってしまうと、大変なことになります
続きを読む
いずれにせよ、Google が今月、自社の消滅の危機に瀕したソーシャル ネットワークでひっそりと修正したセキュリティ上の欠陥を認めなかったことで激しい非難を浴びた後、Tumblr は、少なくともバグの詳細が記者に漏れる前に、できる限りオープンにしようと努めている。
「人々が自由に自己表現し、好きなものを中心にコミュニティを形成できる安全な空間を提供することが、私たちの使命です」とTumblrのスタッフはため息をついた。「今回のバグがその体験に影響を与えた可能性があると考えています。この件について、透明性を保ちたいと考えています。私たちにとって、これは正しい対応です」
GoogleのProject Zeroは他社製品のセキュリティ上の欠陥を定期的に公開しているにもかかわらず、Googleは自社のプログラミングミスについては沈黙を守っていたことをお忘れなく。公平性を期すためにも、おそらく公開すべきだったのでしょう。しかし、これはテクノロジーの世界であり、フェアプレーをしても大抵の場合、何の成果も得られません。®
