El equipo de Tuenti ha puesto fin a la vulnerabilidad de la que hablé pasados cinco días de su advertencia. Ahora, os voy a contar la historia de cómo surgió todo y de como un trabajo de investigación conjunto y en tiempo libre puede dar muchos frutos. Algunas aclaraciones sonarán evidentes (e incluso estúpidas) para cualquier iniciado en el campo, pero mi intención es que lo entienda el mayor número de personas posible (ya que el perfil del visitante de este blog no es necesariamente techie).
Comentarios
Hola! Acabo de leer la entrada de tu blog... Me interesa mucho el tema de las redes sociales pero al leer tu texto siento comunicarte que no he entendido ni papa -no tengo una gran idea a esos niveles de informática-.
Podrías comentarnos cómo nos afectan esas "vulnerabilidades" a los usuarios de tuenti?
Muchas gracias! ^^
#1 la vulnerabilidad ya a sido a arreglada, pero paso a explicarte que riesgo tenia antes de que la arreglaran:
Cualquier usuario mal intencionado, con solo insertar en el perfil de cualquier usuario un comentario (con un código) podía hacer varias cosas (como dar de baja la cuenta, cambiar el email,...) y además este código se propagaría automáticamente a todos los amigos de se usuario, y así sucesivamente...
Han pasado 5 dias desde que los de Tuenti fueron avisado, en esos 5 días se podría haber hecho un daño muy grande a la famosa red social.
Espero habértelo aclarado mejor.
spam pam pam pam
#3 No soy el propietario del blog, ni gano dinero anunciandolo aquí
Muchas gracias por tu explicación scromega!
#4 ninguna de las dos, pero si estas muy influenciado por el propietario
#6: Jamás he enviado un meneo de él @r0uzic simplemente me pasó el link, me interesó (seguí muy de cerca el tema de tuenti) y lo envié... ¿O es spam interesarse por los post de un amigo?
#7
#5 de nada, ya que@outime no esta, te lo explico yo
#9 esto no es Jisko
#9 y #10 Lo siento, es que soy nueva...
arrrg
Pero siguen si poner la política de privacidad y las condiciones legales en la página de incio
Haciendo pruebas e provocado que nadie, ni siquiera yo mismo pueda entrar a mi perfil.
Cagüenlaputa
Muy Relacionada: Vulnerabilidad crítica en Tuenti
Vulnerabilidad crítica en Tuenti
diazr.comBueno, para la gente que hay en el Tuenti, creo que ni se dieron cuenta de esa vulnerabilidad o si lo dices seguro que te contestan el típico: bueno y a mi que me importa .
Meneo porque me a parecido interesante y para mi bien explicado.
Ya que todos nos alarmamos con la noticia del fallo de Tuenti es bueno que ahora se divulge esto y cese la alarma.
Saludos a los tuentusers.
¿Soy el único que desea que se la claven muy adentro?
#18 lamentablemente no, eres de los muchos que desean el mal ajeno
Ni que hubiese descubierto oro... lo que es una coña es el trabajo de investigación al que hace referencia, debió ser muy duro! anda que los hay flipados...
#20 Por poco le dan una beca y todo
#21 sí tio, en el MIT creo, de hecho pasandome ahora por securityfocus.com ponian que la presentación de esta vulnerabilidad sería la charla estrella de la próxima DEFCON...
Es cierto que hoy en día es dificil encontrar algun XSS en webs bastante populares, pero de ahi a darle tanto bombo...
Aunque sí puede suponer un secuestro de datos parciales de los usuarios, no representa un fallo en sí para la página web.
La gracia en sí, está en el hecho del duro trabajo de investigación, ya me los veo chupandose tutoriales para no cagarla al presentarla, cuando con cualquier scanner de vulnerabilidades web (vease nikto) la hubiese cantado al momento y con explicación para tontos.
Tuenti la tiene bastante más grave con el logout de los usuarios y no, no la subsanaron, sino que la empeoraron. Pero es la historia de siempre.. a alguien le importa algo tan lamentable como tuenti?
Si petase me reiría como cosa de 10 seg y acto seguido se me olvidaría.
#24, ¿por qué es lamentable? ¿Porque lo usa mucha gente?
#25 No, de hecho estoy encantado que se así, siempre es bueno tener de referencia redes como tuenti o badoo, para saber con quien no tratar. Eso y la cantidad de información personal que les encanta dar en ambos sitios... me parece de lo más divertido.
#22 percibo un sarcasmo
#27 percibes bien...
Tuenti es una _u__ m___da.
#24 Nikto + inguma/python-scapy = Diversión con Tuenti.Bendito linux que me pone las herramientas de análisis al alcance de aptitude(8)
#27 Qué sagaz.
#31 percibo un sarcasmo
#30 o Wikto, o FASTHTTPvulnerabilityscanner para windows o Nessus, o OpenVas, tanto para Unix, Linux o windows. Lo que sobran son herramientas. Los que se desarrollan cosas serias no miran banderitas ni luchas estúpidas entre sistemas, se preocupan de conocerlos. Las prefieres rubias o morenas? o solo te importa que esten buenas?.
#34 y perdón por el Offtopic , podemos hablar de física y química , la serie, así recuperamos el olor a tuenti.
#33 Yo no me decanto por uno o por otro; me refiero que gracias a Synaptic tengo esas herramientas disponibles fácilmente,ya se que en Windows hay tambien más.Eso si,esto me ha recordado mi epoca de adolescente leyendo e-zines de SET... (ahora lo que toca es crackear redes WIFI, lo hago casi por hobby )
LFI
http://talento.tuenti.com/?lan=es../../../../../../../../../../../../../../../etc/passwd%00