Si entráis a vuestro Dashboard de Tumblr ahora mismo probablemente veáis algunos posts extraños. Antes de nada: no hagáis clic en ellos. La red de blogs ha sufrido un ataque por un grupo anti-blogging que lleva danzando por Internet desde el 2000, y que se está distribuyendo de forma viral y ya ha llegado a más de 8600 cuentas.
Se trata de un gusano que aprovecha una vulnerabilidad en Tumblr. Usando de los códigos de incrustado de vídeos (embed, que en teoría sólo servirían para incluir vídeos de Youtube o Vimeo), han conseguido ejecutar un script que roba la sesión del usuario y crea el post que veis en la imagen para difundirse entre todos sus seguidores.
Si habéis sido infectados, cerrad todas las pestañas de Tumblr del navegador, entrad al Dashboard, borrad cualquier post sospechoso y cambiad después vuestra contraseña. Si no habéis sido infectados, no entréis a ningún post individual de Tumblr (navegar desde el Dashboard no conlleva riesgos) y no estaría de más que saliéseis de vuestra cuenta para evitar cualquier posible ataque.
La motivación del grupo en cuestión, la GNAA, es hacer una crítica a la banalidad de los blogs de Tumblr, a la falta de inversión en seguridad de la empresa y al mundo blogger en general por perder los estándares periodísticos. Todo esto lo han reflejado en los posts virales que se han difundido y en un comunicado que han enviado a The Guardian.
En Tumblr están trabajando lo más rápido que pueden para cerrar el agujero de seguridad. Mientras, procurad no entrar a la red y vigilad vuestros posts y cuentas en otros sitios web (aunque no debería de hacer falta porque todos usamos contraseñas distintas en cada web, ¿verdad?).
Vía | Hacker News
Ver 3 comentarios