Portada
Hace 14 años | Por --119894-- a jonarano.wordpress.com
Publicado hace 14 años por --119894-- a jonarano.wordpress.com

¿Otro fallo de seguridad (y privacidad) de Tuenti?

 jonarano.wordpress.com

Esta mañana hablaba por mensajes privados de la red social Tuenti cuando de repente, por un fallo, no podía ver completo el mensaje. (Fallo de tuenti, o del navegador quizá). No se me ha ocurrido otra cosa que abrir el código fuente para poder seguir leyendo mi mensaje. ¡Sorpresa! Me he encontrado ciertos mensajes, que no me pertenecían. He seguido mirando el código fuente y al final he conseguido saber de quién eran. o que yo leía suyo, no sé si son mensajes públicos o privados (no puedo comprobarlo porque repito que no puedo ver su perfil).

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 57 43

Comentarios

D
editado

vale, acabo de mirar el perfil de #31 y no, son mensajes que salen en su perfil. la explicación:
- tuenti tiene una especie de cache de página. es decir, si entras en una página en concreto te va incluir el código HTML de esa página en la página en sí, en lugar de pedirlo por pseudo-ajax (en este caso tuenti usa una serie de iframes dinámicas)
- jonarano entró antes en el perfil de ander por cualquier razón, o hizo f5 en su perfil y se quedó ahí. ander y jonarano son amigos, tengo agregados a ambos y lo confirmo
por lo tanto, jonarano no vio los mensajes privados de absolutamente nadie, sino que vio el los mensajes en el tablón de un amigo suyo que estaban en su cache.

una palabra: zasca. vende más el amarillismo aquí que cualquier otra cosa...

V 12
K 113
D
editado

Offtopic

¿Cuando Tuenti cumplirá con la LSSI y Ley de protección de Datos?

V 7
K 87
Stash
editado

#18 Querrás decir cuando no hay política de fase de pruebas, criterios de seguridad, departamento de QA, etc. Vamos, cuando se edita directamente el fuente en producción.

Eso es lo que quieres decir, ¿no?

V 7
K 77
Dark_
editado

Gracias, acabo de descubrir que mi novia me la pega con su mejor amiga... mola.

V 6
K 58
cyberdemon
editado

#13 #25 Forma práctica de chuscarse la imagen transparente:
http://estaticosak1.tuenti.com/layout/web2/images/save.gif
Añadir eso al filtro de urls, bien al adblock en firefox o al filtro de webs del opera...
Y ale, todas las imagenes sin protección listas para copiar lol

V 5
K 51
Stash
editado

#6 esta vez te me has adelantado ;).

En cualquier caso, ¿Cuando tomará medidas de oficio la AGPD? Lo saben de sobra. Y la Asociación de Internautas también.

V 3
K 42
Ander46
editado

Buenas. TODOS los comentarios y mensajes del post, como ya bien le he comentado a Jonarano, son mios!!! Cabrones!! Hay alguna forma de denunciar esto???

Me he cagado en los pantalones al verme involucrado en una noticia de portadaaa

BIBA BIBA SOY NOTICIA!!!!!!!!!!!

V 3
K 40
crafton
editado

#12 Y para culos! y tetas también!! YA!!!

V 3
K 38
culoman
editado

#5 Tuenti para GATOS YA!!

V 5
K 36
D
editado

#21 Líate con su mejor amiga y en paz

V 4
K 34
D
editado

Pues yo no tengo cuenta en Tuenti, y cada día me alegro más de no tenerla

V 3
K 30
SiCk
editado

#21 Es una mala noticia, pero no la peor lol

V 3
K 29
Dark_
editado

#24 creo que me liaré con mi mejor amigo, que se joda!!!!11 oh... wait!

V 3
K 27
D
editado

Ni yo, es que jonarano atrae fallos! kiss

V 2
K 27
DZPM
editado

Visto el analfabetismo de los mensajes cruzados... ¿hay algo de valor en tuenti? ¿tiene algún provecho tener cuenta ahí?

V 1
K 23
Don_Gato
editado

#4 Yo porque a los gatos no nos dejan que si no...

V 1
K 21
D
editado

#31 son mensajes privados?

V 1
K 21
K
editado

Se supone que está mal hablar de los compañeros de profesión por aquello del corporativismo pero yo conozco un chaval que trabaja de programador en Tuenti S.L. y tela... le pone interés pero de programación web sabe lo que yo de física cuántica.

Tuenti es el facebook para canis.

V 2
K 21
melenas1414
editado

Yo me hice un tuenti, no por mi privacidad para pasarme mensajes cualquiera puede meterse en la cuenta de otro solo con tener pillado el ordenador de otro, si es muy privado se lo digo en persona y sino puede ser, se lo mando por email, que sí pueden pillarte la contraseña y eso pero es más seguro.
Sino quieres que te roben no dejes las cosas en la ventana, ese es mi lema.

V 2
K 20
ochodias
editado

#33 Como dice #35 yo no hablo de bug, sino un posible fallo de seguridad, que lo hay, puesto que he leido mensajes de personas que yo no puedo porque no conozco.

-Yo en ningun momento digo que sean mensajes privados, porque no lo sé, no puedo entrar a esos perfiles para confirmarlo

no sé si son mensajes públicos o privados (no puedo comprobarlo porque repito que no puedo ver su perfil).

No es posible que yo tenga en mi cache comentarios de amigos de Ander (como tu dices) por haber entrado al perfil de ellos, porque no tengo acceso y no puedo entrar , y si lo es, existe un fallo.

V 3
K 18
D
editado

#39 lo que has visto eran mensajes EN el tablón de ander. entra en su tablón y contrasta, verás que absolutamente todo lo que dices que has visto está visible para sus amigos en el perfil de ander, incluidos los comentarios que él ha puesto en perfiles de otras personas. debería saberlo.

estás generando alarma con una noticia completamente falsa y errónea

V 1
K 15
D
editado

#35 dentro de 3 minutos tendrás una revelación, que te dirá que puedes ver comentarios puestos en tablones de amigos tuyos, aunque quienes los hayan puesto sean personas que no conoces de nada. y al responderlo, sale abajo, en una especie de sangría el mensaje al que han respondido

al aplicarlo con CSS sali chachi, pero mientras está ahí en el HTML. jonarano no ha descubierto nada.

V 1
K 15
Ander46
editado

#33 aun asi, tambien ha visto comentarios que yo he dejado a otras personas que el no tiene agregadas, asi que SI se podria considerar algun tipo de fallo....

V 1
K 15
Candidatas
54
meneos
actualidad La condena a la manada de Burjassot, la puntilla jurídica definitiva a Cristina Seguí
28
meneos
actualidad Un hombre siembra el pánico en Marbella tras sacar una pistola en las inmediaciones de un colegio
40
meneos
politica Rueda sigue los pasos de Feijóo y reparte dos millones de euros de la Xunta entre los medios afines al PP
24
meneos
cultura Santa María del Naranco se construyó para albergar la tumba de Ramiro I
15
meneos
cultura Río Bec, la enigmática y sostenible sociedad maya, sin reyes ni jerarquías y un moderno sistema de presas
24
meneos
tecnología Burgos tendrá la primera calle del mundo hormigonada con residuos de los molinos de viento
18
meneos
cultura Los salineros: transformación natural de agua salada en sal de consumo
27
meneos
opinion Elogio de la amabilidad
22
meneos
cultura Ubaldina García Díaz, maestra de La República
TDsXXI
editado

Pues acabo de probar y no veo nada extraño...

V 1
K 15
hardrock
editado

Yo si que lo veo pero no son mensajes privados de nadie, son comentarios que les hacen a tus contactos, nada que no puedas ver con tus permisos normales

V 0
K 13
D
editado

"imprimir pantalla"...

V 1
K 12
alain.
editado

#5, #12

http://www.tuenti.com/#m=Profile&func=index&user_id=63470344

V 1
K 12
N
editado

#14 Si te vale Facebook en vez de Tuenti, puedes comprar assbook.com .

V 0
K 11
D
editado

vamos que jonarano la ha liao parda lol

V 0
K 10
culoman
editado

#14 Supongo que lo dices porque en internet no hay pr0n gratis roll

V 0
K 10
estoyausente
editado

Lo más divertido es la protección ocn las fotos.

Puedes pasarle directamente el link de la foto en cuestion y cualquiera puede verlo. Aunque no tenga tuenti.

Sólo es necesrio pillar la url de la foto.

V 2
K 10
estoyausente
editado

#13 pues hasta hace bien poco se podía, mañana lo vuelvo a probar y te respondo

V 0
K 10
djkalim
editado

#25 de ahí lo que he dicho justo debajo , que , por ejemplo, accediendo a "medios" en Firefox se puede descargar sin problemas
Lo que no se puede hacer ya es el hotlinking.

V 0
K 9
djkalim
editado

#7 Eso ya no es así , antes sí, pero lo cambiaron y ya no se puede, y tampoco te la puedes descargar (le han puesto una capa transparente delante, que es la que te descargas).
Aun así, accediendo a "medios" en Firefox, se puede seguir descargando normalmente, pero no hacer hotlinking

V 0
K 9
Ander46
editado

#32 No, no son mnsajes privados, son mensajes, de mi tablon, y otros que yo he dejado a otra gente en sus tablones, pero hace dias ya....

V 0
K 9
D
editado

a ver, voy a intentar resumir todo:

1. jonarano entra en tuenti, y de ahí va al perfil de ander, que está en sus amigos (posiblemente por que le acaban de poner algún comentario)

2. obtiene la página directamente, sin pasar por el loader de contenido pseudo-ajax (iframe). puede ser por que ha hecho click en un link externo que llevaba directamente al perfil o lo ha abierto en una pestaña o ventana nueva... aunque esto es bastante irrelevante

3. ve el perfil de ander, y de ahí se va y llega hasta mensajes, da igual cómo... el contenido de la nueva página se carga por el iframe, pero el HTML no se actualiza con ajax (obviedad gigante), sólo se actualiza el documento. intenta ver el código fuente y se encuentra tuenti en sí (tuenti es una especie de aplicación web) + la página precargada (en el punto 2) de ander.

4. jonarano, que posiblemente no sabe muy bien que es esto, decide crear alarma por algo que ni siquiera se ha molestado en verificar, y que claramente no es un agujero de seguridad.

por último, los que decían que sigue habiendo un agujero de seguridad por que se veían los comentarios que ander puso a otras personas, un pantallazo: http://is.gd/10CAT

las respuesta se ven en la propia página, de hecho lo que ha hecho jonarano ahora es divulgar porciones del tablón de ander, y además crear un falso agujero de seguridad 'grave' con lo que ello conlleva. enhorabuena...

V 0
K 9
D
editado

#13 ¡guau! ¡una capa transparente para que no te puedas descargar la foto! Como que no hay 99999999999999^99 formas de descargarte una foto sin usar lo de boton derecho > guardar imagen

V 0
K 8
D
editado

Yo no sé por qué me han votado negativo lol

Es cierto jolín, yo siempre trabajo en local pero cuando tienes que tocar algo en producción, sobre todo en un sistema tan grande como tuenti, siempre, aunque sea un par de minutos, la cagas.

Y el programador que me diga que jamás ha subido algo a producción y ha tenido que "enmendar" algo más tarde, simple y llanamente miente...o eso o todavía se están acordando de él los que lo están arreglando...

V 0
K 6
LadyXervas
editado

A nadie le abre la web de orange al pinchar en la noticia???
Soy algo nueva y eso, y no se si esto es normal, pero cuando pincho en la noticia me gusta leer algo mas que la entradilla sobre la misma, no publicidad.

V 0
K 6
D
editado

Por muy buen programador que seas este tipo de cosas suceden constantemente cuando trabajas en una aplicación que está en producción.

V 0
K 6
fer13
editado

Ya es un hecho, que Tuenti hace aguas desde mucho tiempo, si algo le sobra, aparte de usuarios con muy poco sentido del ridiculo, son vulnerabilidades.

V 0
K 6
D
editado

#19 ...sí, vamos, cuando no trabajas en un universo paralelo...

V 1
K -3
ChanVader
editado

r0uzic meneando a Jonarano. Para que luego digan que la endogamia no existe en Menéame... (/offtopic)

V 3
K -33