L’utenza Tumblr ha vissuto una giornata di pericoli che per 86 mila utenti si sono tramutati in vera e propria infezione. Il problema si sviluppato a cavallo tra i browser e le pagine Tumblr dell’utenza iscritta al servizio e tutto ciò dribblando controlli eccessivamente blandi nelle funzioni di reblog presenti sul sito.
Il funzionamento del worm è tanto semplice quanto insidioso: una volta infettato il browser della vittima, ad ogni visita su Tumblr veniva inviato un nuovo codice sulla propria pagina. All’interno del codice era presente un iframe (invisibile all’occhio del visitatore) che avrebbe colpito altri utenti successivi, perpetrando così l’infezione. Fortunatamente è già possibile parlare al passato del problema, però: Tumblr ha identificato e fermato l’infezione entro poche ore, tagliando così a monte i meccanismi che consentivano al worm di moltiplicarsi.
Il worm era firmato dal gruppo cracker GNAA e faceva riferimento ad un server esterno (presto identificato e filtrato da Sophos). Se un utente si collegava a Tumblr senza essere accreditato, una pop-up suggeriva di passare attraverso la procedura di login, così da poter diventare rapidamente veicolo del passaparola maligno del codice.
Tumblr consiglia ai propri utenti una misura forse non necessaria, ma logicamente cautelativa: il cambio della password. Non è infatti ancora del tutto chiaro quale fosse la finalità del worm e pertanto una modifica manuale immediata dei propri riferimenti di login potrebbe salvaguardare l’account da eventuali pericoli ulteriori in futuro.