La société a publié un billet de blog où elle explique avoir été informée de la faille par un chercheur, via son programme de bug bounty.

La brèche était présente dans le module « Recommended Blogs » du site. Via certaines manipulations, il était possible de récupérer des données (sans plus de détails) des comptes des blogs apparaissant dans cet encart.

« Nous avons résolu le problème et rien ne prouve que ce bug ait été utilisé de manière abusive. Nous ne sommes par contre pas en mesure de déterminer quels comptes pourraient avoir été affectés, mais notre analyse a montré que ce bug était rarement présent », affirme Tumblr.