C&P: El tuenti es entretenido, tanto que me he puesto a cotillear y no he parado, sin embargo, ha llegado un momento, que para continuar mi cotilleo, me hubiese sido útil poder ver la lista de amigos de alguien que no es mi amigo, sin embargo, en teoría eso no se puede… Lo interesante, es que si en http://www.tuenti.com/#m=amigos&uid=X en lugar del número uid de nuestro amigo, ponemos cualquier otro, podemos ver también la lista de sus amigos.
1. No se puede ver en tuenti la lista de amigos de un desconocido
2. El bug permite ver la lista de amigos de un desconocido en tuenti, sabiendo su id
3. El id de un perfil de tuenti no es secreto, es muy fácil conseguirlo
4. en el artículo hay un script para greasemonkey (una extensión del firefox) que una vez instalado, se te agrega un nuevo botón, llamado 'ver sus amigos', disponible en cualquier perfil, aunque no tengas acceso a el.
Con todo esto, que dudas hay? que peleas? que flames?
Esto es lo que hay, nada mas.
Que en facebook se puede saber quienes son los amigos de cualquiera? vale, pero en tuenti no, solo los de tus amigos.
#9:
Yo no tengo cuenta en Tuenti ni en Facebook ni en ninguno de esos sitios, para que no se vea que soy un asocial que no tiene amigos.
#34:
Esto sí es un agujero de seguridad. Con esto quedan comprometidos datos que igual nosotros no queremos revelar.
#22, sólo si lo permites explícitamente en tu perfil. Aunque creo que viene activado por defecto (seguro a un 80%).
#6:
#3 Si lees la noticia entera te podrias enterar que el autor del post ya se va a poner en contacto con el staff de tuenti para comunicarles los fallos más serios
editado:
bah, llegue tarde
#25:
#7 ¿POST más bonito y discreto que GET? ¿Te suena la palabra bookmark? En fin...
#13:
#9 Pero la tienes en menéame Al final todos caemos en alguna red social
#3 Si lees la noticia entera te podrias enterar que el autor del post ya se va a poner en contacto con el staff de tuenti para comunicarles los fallos más serios
No solo se da ese bug en Tuenti, el otro día visitando el perfil de un amigo, se le fue la pinza y de repente pasé a ser una moza (de muy buen ver por cierto) aunque no me dejaba realizar ninguna acción de edición/eliminación, si que me dejaba ver todos sus mensajes, páginas de edición de opciones... ¿le ha pasado a alguien más?
#9 yo tampoco tengo y ni falta que me hace, como es la ultima moda todo el mundo se apunta, pero en realidad es una puta mierda donde cuelgas tus fotos y la peña escribe comentarios diciendo: jaja menuda noxe pasamos tio! luego t enrrollastes con la vane y tu novia te dejo!! jaja menuda noxe!!
O tambien es poner una lista de amigos con gente con la que no te hablas, ni siquiera la miras pero comentas sus fotos. Entonces, ¡¡VIVA LOS PARIAS!!
#20 Tuenti es un agujero a la moda tecnologica estupida.
#23 tambien puede ser una web para compartir fotos de un concierto, de una merienda, etc. o para contactar con personas que hace tiempo perdiste el contacto, y así podemos seguir.
Las redes sociales no son solo chiquilladas, deberíais comprenderlo y, simplemente, darle un uso correcto.
Pues yo lo he probado y la verdad es que no funciona eso que dice el meneo... y si se refiere a ver los amigos de la gente donde puedes entrar, por "Amigo de amigo", no es un bug, está hecho así...
editado:
Miento, acabo de re comprobarlo y sí, sí que va, pero, de que sirve si no puedes entrar?
No lo veo un agujero de seguridad: sólo se puede hacer si tienes acceso a los uid de la gente, que sólo es posible si se da permiso a que cualquier pueda ver tu perfil.
Como si lo viese venir:
KIERO ENTRAR E MI KUENTA DE TUENTI Y NO ME DEJAN. HE PERDIO LA CLAVE LA KUENTA S MIA. AYUDENME POR FABOR. GRACIAS DE ANTEBRAZO.
Si la pagina deja hacerlo pinchando el link "amigos" mientras visitas el perfil de un amigo... por que lo llamais BUG? porque sirve para gente que no es tu amigo? No lo veo tan "alarmante"...
Venga, otro "bug". Si cuando vas a ver un perfil no te deja verlo por no ser su amigo (o cercano), si en FFox, le das a ver imagen, y en la url, cambias el 120 por un 500, aiva! ves la imagen en grande...
1. No se puede ver en tuenti la lista de amigos de un desconocido
2. El bug permite ver la lista de amigos de un desconocido en tuenti, sabiendo su id
3. El id de un perfil de tuenti no es secreto, es muy fácil conseguirlo
4. en el artículo hay un script para greasemonkey (una extensión del firefox) que una vez instalado, se te agrega un nuevo botón, llamado 'ver sus amigos', disponible en cualquier perfil, aunque no tengas acceso a el.
Con todo esto, que dudas hay? que peleas? que flames?
Esto es lo que hay, nada mas.
Que en facebook se puede saber quienes son los amigos de cualquiera? vale, pero en tuenti no, solo los de tus amigos.
tecnicamente, y según reza en la pantalla de login, tuenti es una Beta... eso lo deberian de saber todos aquellos que se "hacen" tuenti, asi que ahora no deberían quejarse. Yo por mi parte, me expongo a ello, y no me importa... las cosas importante desde luego no las hago via tuenti...
#47 Esa es la excusa más burda y cansina que he escuchado - no lo digo por ti, es que ya la he escuchado más de una ocasión, y a más de un desarrollador- . El cuento de " está en beta, si tiene errores, no os quejes" no cuela cuando eres una de las páginas más activas de España por jóvenes , y aun más cuando tienes tantos usuarios.
Si es beta, haces la beta privada, pero de verdad, y una vez que funciona, lo lanzas. Pero eso de lanzarlo como "beta" con invitaciones a 5 usuarios, es un chiste obviamente es con fines de márketing, tan sólo hay que hacer potencias para saber el resultado.
#48 sólo 5? te dan 10 para empezar, y cada vez que buscas amigos a través de tus libretas de contacto (sea msn, gmail etc) te dan otras 20... para mi lo de beta privada, en tuenti, es de chiste. Beta será, pero privada desde luego que no cuando media España tiene perfil...
Y sobre los que dicen "es que en facebook se puede saber la lista de hamijos", sí, viene así por defecto, pero con toquetear las opciones de privacidad (que más de uno no habrá ni mirado) se puede hacer que no vea nadie ni tu foto del perfil, ni que amigos tienes ni nada, a no ser que le aceptes. Es más, os invito a que busquéis mi perfil e intenteis tener algo de información sin que os tenga como amigo.
#5 ¿Contratar profesionales dices? ¡JA! Eso es muy caro. Mejor unos becarios de la pontificia de Comillas que sale mas barato (supongo que son de esa procedencia por el perfil de los primeros uids de tuenti ^^'.
#57 No sé si será correcto que hayas puesto ese link. De todas formas he entrado por curiosidad y puedo acceder al perfil de 5 de ellos (sin contar una hermandad religiosa). Deben ser amigos de mis primas de Sevilla.
Una cosa que le falta al Tuenti: Saber la cadena que lleva a un desconocido de quien puedes ver el perfil hacia ti. Saber de cuál de tus amigos es amigo. Es una opción que debe ser muy fácil, bastante interesante, y que no entiendo por qué no existe.
instalandose tuentifox (la extension esta en la web de mozilla) te mete una opcion q si dejas el raton encima de una foto se amplia... si te vas a alguien fuera de tu red y dejas el raton en la foto principal se amplia en grande y con colorines......algo es algo
Yo no lo veo como un error de seguridad, aquí lo único que conoces son las amigos de una persona agena a tu tuenti, y que se pueden buscar a través del propio buscador de Tuenti. Por tanto, es un fallo que se queda en una tontería.
#5 Y tanto que es de novato, yo esas comprobaciones las pongo hasta cuando hago páginas que sólo tienen dos o tres cosas chorras, como para no ponerlo en algo con datos privados ^_^
#53 perdona, no sabía que te molestase que, por ejemplo yo, comparta fotografías con mis compañeros de trabajo y organicemos quedadas a través de esta red social.
Tuenti no es ninguna moda, es un portal útil que, al igual que meneame, se basa en COMPARTIR información. Claro que si te jode que los demás lo hagan sin que a ti te afecte, puede que tengas un problema contigo mismo o con todos los que te rodean.
Rooibo dice el 18/02/2009 que descubrió ese fallo de seguridad en Tuenti ... como podeis ver en http://www.pepelux.org llevo desde el 10/02/2009 publicando scripts y programas que usan este fallo. Me da que Rooibo se atribuyó un mérito de algo que puse en varias foros
Eso no esta nada bien amigo Rooibo
Como añadido diré que el parche de Tuenti ha sido 'a medias' puesto que la versión 1.4 de TuentiPlus vuelve a saltarse este fallo ... podeis comprobarlo
#75 primero me tachas de plagiador (erroneamente, pues yo mismo descubrí esos agujeros en tuenti, y si tu anteriormente habías ya descubierto alguno, pero no lo habías comunicado a tuenti, por lo cual, era algo de tu "entorno" o de quien te conociese a ti o a tu web, me parece bien, pero yo no tenía por que saberlo) y luego me dices que no quieres entrar en debates de este tipo, interesante ejemplo de tiro la piedra y escondo la mano
Vi en tuentiadictos un link hacia tu web que ponia ... la pagina del descubridor. Por eso lo dije. Y creo que el que esta mosqueandose eres tu, pues a mi me es indiferente.
Comentarios
jolines jugando a hackers en los tiempos libres
Eso no se hace niño, con eso no se juega, dale...
Chapuceros!
Pues estaría bien que avisáseis al staff de tuenti como favor en lugar de publicarlo, son datos privados no obstante.
#4 ya
#3 lee el final del artículo
Me dedico desde hace 10 años a programar en web y si eso es cierto, me parece un error DE NOVATO con mayúsculas.
Si dices que tiene más fallos de este tipo, es hora de que contraten a profesionales en sus desarrollos.
#3 Si lees la noticia entera te podrias enterar que el autor del post ya se va a poner en contacto con el staff de tuenti para comunicarles los fallos más serios
Agujero se seguridad es mucho decir...
Pero los admin de tuenti tambien podian usar POST en vez de GET; que queda más bonito y mucho más discreto
Agujero de seguridad sería si las contraseñas se viesen comprometidas, o que se pudiesen añadir/borrar datos en cuentas ajenas.
Esto es más bien un bug, ¿no?
Yo no tengo cuenta en Tuenti ni en Facebook ni en ninguno de esos sitios, para que no se vea que soy un asocial que no tiene amigos.
#9 eres un paria
Rouzic y su afán crackerflap
hay que probarlo
#9 Pero la tienes en menéame Al final todos caemos en alguna red social
Joé, y decía que Tuenti era seguro OWNED.
#10 Y me siento orgulloso de ello (no-estar-tuenti-ser-paria-social/1#comment-56)
¿No estar en Tuenti, es ser un paria social?
blogatclock.netNo solo se da ese bug en Tuenti, el otro día visitando el perfil de un amigo, se le fue la pinza y de repente pasé a ser una moza (de muy buen ver por cierto) aunque no me dejaba realizar ninguna acción de edición/eliminación, si que me dejaba ver todos sus mensajes, páginas de edición de opciones... ¿le ha pasado a alguien más?
Pues igual que en Menéame: @r0uzic
Si es que se le puede llamar «fallo de seguridad» a eso.
Cada día me doy más cuenta de lo cutre que es Tuenti
En el Facebook siempre se puede ver la lista de amigos de alguien que no es tu amigo
Hay un error de concepto elemental que se le ha pasado por alto al del post:
No es un agujero de seguridad en tuenti. Tuenti es un agujero en la seguridad.
#9 pringao!!
Eso también pasa en Facebook, puedes ver los "amigos" de una persona que no es tu "amiga"
#9 yo tampoco tengo y ni falta que me hace, como es la ultima moda todo el mundo se apunta, pero en realidad es una puta mierda donde cuelgas tus fotos y la peña escribe comentarios diciendo: jaja menuda noxe pasamos tio! luego t enrrollastes con la vane y tu novia te dejo!! jaja menuda noxe!!
O tambien es poner una lista de amigos con gente con la que no te hablas, ni siquiera la miras pero comentas sus fotos. Entonces, ¡¡VIVA LOS PARIAS!!
#20 Tuenti es un agujero a la moda tecnologica estupida.
Gracias por revelarselo a todo el mundo...
#7 ¿POST más bonito y discreto que GET? ¿Te suena la palabra bookmark? En fin...
asi podemos ver los culpables de que se extendiera poniendo id como 1 o mas bajos
De toda la vida se pueden ver los amigos de los demas.... fuerte error.... :S Fuerte hacker.....
#23 tambien puede ser una web para compartir fotos de un concierto, de una merienda, etc. o para contactar con personas que hace tiempo perdiste el contacto, y así podemos seguir.
Las redes sociales no son solo chiquilladas, deberíais comprenderlo y, simplemente, darle un uso correcto.
Agujero de seguridad no, pero sí un ejemplo más de la "alta privacidad que te proporcionan las redes sociales"
Pues yo lo he probado y la verdad es que no funciona eso que dice el meneo... y si se refiere a ver los amigos de la gente donde puedes entrar, por "Amigo de amigo", no es un bug, está hecho así...
facebook y tuenti en portada de meneame
Tuenti es un saco roto
No lo veo un agujero de seguridad: sólo se puede hacer si tienes acceso a los uid de la gente, que sólo es posible si se da permiso a que cualquier pueda ver tu perfil.
Esto sí es un agujero de seguridad. Con esto quedan comprometidos datos que igual nosotros no queremos revelar.
#22, sólo si lo permites explícitamente en tu perfil. Aunque creo que viene activado por defecto (seguro a un 80%).
pero el script que pone en la web ese que hay que hacer con el????
he intentado probarlo, pero con las uid es una mierda y no se hacerlo con el nombre
Como si lo viese venir:
KIERO ENTRAR E MI KUENTA DE TUENTI Y NO ME DEJAN. HE PERDIO LA CLAVE LA KUENTA S MIA. AYUDENME POR FABOR. GRACIAS DE ANTEBRAZO.
#36
muahahaha buenisimo la imitación de hoygan
Ya veras lo que tarda en aparecer alguien que diga algo así, o aquí en el enlace de la noticia
y ese enlace no es el mismo que aparece en el link amigos de la parte derecha al ver el perfil de un amigo?
No vale para masturbarse con las fotos de las puticas... son muy pequeñas...
#25 hombre, GET + mod_rewrite
Hasta los huevos de Facebook, Tuenti y la madre que los parió.
Jcarlosn eres famoso, te van a hacer millonario y vas a tener un un bentley
http://rooibo.wordpress.com/2009/02/18/agujero-de-seguridad-en-tuenti/#comment-372
Si la pagina deja hacerlo pinchando el link "amigos" mientras visitas el perfil de un amigo... por que lo llamais BUG? porque sirve para gente que no es tu amigo? No lo veo tan "alarmante"...
Venga, otro "bug". Si cuando vas a ver un perfil no te deja verlo por no ser su amigo (o cercano), si en FFox, le das a ver imagen, y en la url, cambias el 120 por un 500, aiva! ves la imagen en grande...
Ale, vuelvo a mis estudios
A ver una aclaración:
1. No se puede ver en tuenti la lista de amigos de un desconocido
2. El bug permite ver la lista de amigos de un desconocido en tuenti, sabiendo su id
3. El id de un perfil de tuenti no es secreto, es muy fácil conseguirlo
4. en el artículo hay un script para greasemonkey (una extensión del firefox) que una vez instalado, se te agrega un nuevo botón, llamado 'ver sus amigos', disponible en cualquier perfil, aunque no tengas acceso a el.
Con todo esto, que dudas hay? que peleas? que flames?
Esto es lo que hay, nada mas.
Que en facebook se puede saber quienes son los amigos de cualquiera? vale, pero en tuenti no, solo los de tus amigos.
¿Que problema hay?
Lo digo por #43 y similares
Je, me viene que ni pintado
no-estar-tuenti-ser-paria-social/2#comment-116
¿No estar en Tuenti, es ser un paria social?
blogatclock.netno-estar-tuenti-ser-paria-social/2#comment-124
¿que es tuenti? ¿alguien sabe por qué la página de webon ya no se actualiza? ¿y por qué ya no puedo acceder a infovia marcando el 055? gracias.
tecnicamente, y según reza en la pantalla de login, tuenti es una Beta... eso lo deberian de saber todos aquellos que se "hacen" tuenti, asi que ahora no deberían quejarse. Yo por mi parte, me expongo a ello, y no me importa... las cosas importante desde luego no las hago via tuenti...
#47 Esa es la excusa más burda y cansina que he escuchado - no lo digo por ti, es que ya la he escuchado más de una ocasión, y a más de un desarrollador- . El cuento de " está en beta, si tiene errores, no os quejes" no cuela cuando eres una de las páginas más activas de España por jóvenes , y aun más cuando tienes tantos usuarios.
Si es beta, haces la beta privada, pero de verdad, y una vez que funciona, lo lanzas. Pero eso de lanzarlo como "beta" con invitaciones a 5 usuarios, es un chiste obviamente es con fines de márketing, tan sólo hay que hacer potencias para saber el resultado.
#48 sólo 5? te dan 10 para empezar, y cada vez que buscas amigos a través de tus libretas de contacto (sea msn, gmail etc) te dan otras 20... para mi lo de beta privada, en tuenti, es de chiste. Beta será, pero privada desde luego que no cuando media España tiene perfil...
Y sobre los que dicen "es que en facebook se puede saber la lista de hamijos", sí, viene así por defecto, pero con toquetear las opciones de privacidad (que más de uno no habrá ni mirado) se puede hacer que no vea nadie ni tu foto del perfil, ni que amigos tienes ni nada, a no ser que le aceptes. Es más, os invito a que busquéis mi perfil e intenteis tener algo de información sin que os tenga como amigo.
Pues en greasemonkey el script no funciona...
para #50 y los que dicen que no va el script:
fijaos en el tercer link que tengo, al lado de 'Agregar Amigo'
Que envidia, todos con tuenti y yo cerca de los zerty.
#52 todos con tuenti no, sólo los pringaos que se dejan influir por las modas.
El rebaño.
#7 Y para esconder el código fuente, en vez del HTML les pasamos un screenshot de la pagina a los usuarios...
#51 puedes pasarte el .xpi compilado???
a mi tampoco me funciona el script con el greasemonkey
pues vaya patraña de bug de mierda, aqui va uno bueno utilizando el mismo "modus-operandi" sacado de un foro:
http://www.mediavida.com/vertema.php?fid=90&tid=316195&pagina=14#399
Los amigos del asesino confeso de marta del castillo
http://www.tuenti.com/#m=amigos&uid=61315898
// ==UserScript==
//@name tuentihacks
//@namespace tuenti
//@include http://www.tuenti.com/*
// ==/UserScript==
var column = document.getElementById('column-550');
var els = column.getElementsByTagName('a');
myRe = /addFriend(([0-9]+)/g;
for (var i = 0; i < els.length; i++) http://www.tuenti.com/#m=amigos&uid='+id);
btn.className = 'blue';
btn.innerHTML = ' | Ver sus amigos';
els[i].parentNode.appendChild(btn);
"> else
}
El script, para los que no les funciona. (será un problema con el copy-paste en el wordpress)
Bueno, no tengo tuenti pero...
if else ">
#5 ¿Contratar profesionales dices? ¡JA! Eso es muy caro. Mejor unos becarios de la pontificia de Comillas que sale mas barato (supongo que son de esa procedencia por el perfil de los primeros uids de tuenti ^^'.
#57 No sé si será correcto que hayas puesto ese link. De todas formas he entrado por curiosidad y puedo acceder al perfil de 5 de ellos (sin contar una hermandad religiosa). Deben ser amigos de mis primas de Sevilla.
Una cosa que le falta al Tuenti: Saber la cadena que lleva a un desconocido de quien puedes ver el perfil hacia ti. Saber de cuál de tus amigos es amigo. Es una opción que debe ser muy fácil, bastante interesante, y que no entiendo por qué no existe.
instalandose tuentifox (la extension esta en la web de mozilla) te mete una opcion q si dejas el raton encima de una foto se amplia... si te vas a alguien fuera de tu red y dejas el raton en la foto principal se amplia en grande y con colorines......algo es algo
sl2
Yo no lo veo como un error de seguridad, aquí lo único que conoces son las amigos de una persona agena a tu tuenti, y que se pueden buscar a través del propio buscador de Tuenti. Por tanto, es un fallo que se queda en una tontería.
#58 jops no me va Mejor así no me llevo un rato alcahueteando
#5 Y tanto que es de novato, yo esas comprobaciones las pongo hasta cuando hago páginas que sólo tienen dos o tres cosas chorras, como para no ponerlo en algo con datos privados ^_^
Bueno, no es el primero http://www.google.com/search?q=seguridad%20tuenti
Esto es más viejo que el meao...
#57 Frivolizando... te van a coser a negativos
aqui está el script bien explicado:
#53 perdona, no sabía que te molestase que, por ejemplo yo, comparta fotografías con mis compañeros de trabajo y organicemos quedadas a través de esta red social.
Tuenti no es ninguna moda, es un portal útil que, al igual que meneame, se basa en COMPARTIR información. Claro que si te jode que los demás lo hagan sin que a ti te afecte, puede que tengas un problema contigo mismo o con todos los que te rodean.
En http://www.TuentiAdictos.ES hay un enlace de descarga con el script para el que no le funcione copiar y pegar.
Incrementar el contador de visitas en Tuenti
http://foro.elhacker.net/hacking_avanzado/incrementar_el_contador_de_visitas_en_tuenti-t244857.0.html
Para quien le interese, el desenlace:
http://rooibo.wordpress.com/2009/02/20/tuenti-solventa-todos-los-agujeros-de-seguridad-comunicados/
Un 10 para tuenti.
Rooibo dice el 18/02/2009 que descubrió ese fallo de seguridad en Tuenti ... como podeis ver en http://www.pepelux.org llevo desde el 10/02/2009 publicando scripts y programas que usan este fallo. Me da que Rooibo se atribuyó un mérito de algo que puse en varias foros
Eso no esta nada bien amigo Rooibo
Como añadido diré que el parche de Tuenti ha sido 'a medias' puesto que la versión 1.4 de TuentiPlus vuelve a saltarse este fallo ... podeis comprobarlo
#73 no conocía tu web, y acusar falsamente como haces, no está nada bien amigo pepelu
Me parece genial si ya conocías el fallo de antemano, también conocías el XSS que he reportado en privado? el de los eventos?
Buenas, lo que menos ganas tengo es entrar en debates de este tipo. La verdad es que me es indiferente todo esto y no merece la pena discutir.
El fallo de XSS lo vi googleando en varios sitios. Desconozco si lo has descubierto tú o no.
Un saludo
#75 primero me tachas de plagiador (erroneamente, pues yo mismo descubrí esos agujeros en tuenti, y si tu anteriormente habías ya descubierto alguno, pero no lo habías comunicado a tuenti, por lo cual, era algo de tu "entorno" o de quien te conociese a ti o a tu web, me parece bien, pero yo no tenía por que saberlo) y luego me dices que no quieres entrar en debates de este tipo, interesante ejemplo de tiro la piedra y escondo la mano
Vi en tuentiadictos un link hacia tu web que ponia ... la pagina del descubridor. Por eso lo dije. Y creo que el que esta mosqueandose eres tu, pues a mi me es indiferente.