406 meneos
 

Tuenti tiene un fallo que permite sacar datos privados de usuarios  vídeo

www.tuentiadictos.es/tuenti-tiene-un-fallo-que-permite-sa... 
por rcmado el 11-08-2009 20:37 UTC publicado: 12-08-2009 02:55 UTC
Tuenti repite un fallo de inyección SQL que permitía sacar cualquier dato privado de su base de datos. Permitía que cualquiera pudiese hackear la cuenta de otro usuario sacando su contraseña
etiquetas: tuenti, redes sociales, internet, tecnología, fallo de seguridad, bug
negativos: 1   usuarios: 171   anónimos: 235  
compartir:  twitter  facebook  tuenti  
36comentarios tecnología, internet karma: 579
  1. #1   Hombre a mi si me dais la contraseña de alguien hackeo su cuenta en un momento xD .

    Digo esto porque la entradilla parece que dice que si sacas su contraseña le puedes hackear la cuenta ;).
    13  votos: 1   link
    el 11-08-2009 20:39 UTC por swedgineer swedgineer
  2. #2   vaya!
    6  votos: 0   link
    el 11-08-2009 20:42 UTC por observador_politiqueo observador_politiqueo
  3. #3   Sé que en su día se desveló un bug de esta red social, pero pensé que lo habían subsanado.

    Bastante peligroso este tema, porque la gente tiene la manía (dejémoslo en costumbre xD ) de dejar sus datos personales en estas redes, y luego pasa lo que pasa...
    6  votos: 0   link
    el 11-08-2009 20:44 UTC por PrAnKi PrAnKi
  4. #4   Sigo sin entender varias cosas.

    1.- Como no utilizan procedimientos almacenados.
    2.- ¿Porque siguen utilizando GET?.
    3.- ¿Porque no escapan las variables?.
    4.- SSL, ¿para cuando?.

    y por ultimo

    5.- ¿cuando cumplirán la LSSI?

    De Tuenti tengo la continua sensación de ser un producto para ser vendido a una tercera empresa, tiene continuos fallos de seguridad y sobre todos no observa la legislación Española en protección de datos.
    271  votos: 29   link
    el 11-08-2009 20:49 UTC por --101913-- --101913--
  5. #5   #0 ERRÓNEA : "El fallo fue notificado al equipo de Tuenti y tras unas horas se pusieron en contacto para resolverlo"
    -70  votos: 11   link
    el 11-08-2009 20:53 UTC por -pasillo- -pasillo-
  6. #6   #4 Te agradezco que me hayas relevado de mi cruzada contra esa panda de trápalas.
    29  votos: 1   link
    el 11-08-2009 20:53 UTC por Stash Stash
  7. #7   #6 Por email varias veces les he solicitado los datos que la LSSI, les obliga a publicar.

    ¿Sabes cual es su contestación? :

    [..]
    Me pongo de nuevo en contacto contigo para resolver tu duda.

    Tuenti es actualmente una red cerrada, ya que, para poder registrarse, el usuario ha tenido que ser previamente invitado por alguien que ya forma parte de Tuenti.

    Una vez que el usuario es invitado, recibe toda la información corporativa qeu exige el artículo 12 LSSI, el cual es de fácil acceso en la sección "Aviso legal", tal y como obliga la normativa vigente. El "Aviso legal" está disponible en el proceso de registro para que el usuario pueda conocer todos los derechos y obligaciones que tiene como usuario de Tuenti antes de pasar a formar parte de nuestra red.

    Espero que esto aclare tus dudas y, si tienes alguna otra pregunta, no dudes en ponerte en contacto con nosotros.

    Un saludo,

    Equipo tuenti
    [..]

    Asi que solo los usuarios pueden ver los datos, fijate la caradura.

    ¿pero que dice la ley [1]?
    [..]

    Los prestadores de servicios deben indicar en su página web:

    * Su nombre o denominación social y datos de contacto: Domicilio, dirección de correo electrónico y cualquier otro dato que permita una comunicación directa y efectiva, como por ejemplo un teléfono o un número de fax.
    * Si la empresa está registrada en el Registro Mercantil o cualquier otro registro público, deberá señalar también el número de inscripción que le corresponda.
    * Su NIF.
    * Información sobre el precio de los productos, indicando si incluye o no los impuestos aplicables, gastos de envío y cualquier otro dato que deba incluirse en cumplimiento de normas autonómicas aplicables.
    * En el caso en que la actividad que se ejerza precise de una autorización administrativa previa, los datos relativos a la misma y los identificativos del órgano encargado de su supervisión.
    * Si se ejerce una profesión regulada, los datos del Colegio profesional y el número de colegiado, el título académico y el Estado de la Unión Europea en que se expidió y la correspondiente homologación, en su caso.
    * Los códigos de conducta a los que esté adherido, en su caso, y la forma de consultarlos electrónicamente.

    [..]
    Mas claro imposible, los datos deben ser públicos, y no te debes registrar para verlos.

    Se saltan la ley y encima se recochinean de ello.

    [1] www.lssi.es/Secciones/Contenidos/Obligaciones/contprin2a.htm
    211  votos: 21   link
    el 11-08-2009 21:08 UTC por --101913-- --101913--
  8. #8   #5 La noticia no es errónea.

    [..]
    errónea
    Este voto lo merecen los envíos que tienen errores. Por ejemplo, consideramos erróneos los envíos donde el enlace no funciona, no cumple las normas, o la noticia a la que apunta contiene información falsa. Si la noticia está mal redactada o tiene un título incorrecto, pero de todas maneras el enlace te parece interesante, es recomendable no votarla positivamente, sino dejar un comentario explicando el error y pidiendo a los usuarios con capacidad de edición que corrijan la noticia.
    [..]

    El autor de la bitácora ha tenido sentido común, primero se pone en contacto con la empresa para que resuelva el problema, y una vez resuelto (o eso creemos) lo publica.
    59  votos: 4   link
    el 11-08-2009 21:13 UTC por --101913-- --101913--
  9. #9   #7 Jeje. Yo he tirado mas arriba.

    Email al Ministerio de Industria por lo de la LSSI.
    Email a la AGPD por lo de la LOPD y la LSSI
    Email a la Asociación de Internautas.

    Las respuestas fueron:
    Industria: Evasiva del tipo "no es nuestra competencia"
    AGPD: Evasiva del tipo "Vale, pero si no denuncias no haremos una mierda"
    AI: Inicialmente la abogada no lo veia claro, una vez razonado con ella, vio claro que vulneraban las dos de entrada. Respuesta final: "Ya lo notificaremos a quien corresponde"

    Esto fue hace un año. A día de hoy sigo viendo al, en mi estricta y subjetiva opinion, "pancracio" de Icaro Moyano llenándose la boca de soplapolleces.

    Por cierto, un comentario mio de su blog fue eliminado:
    blog.tuenti.com/condiciones-de-consenso/#comments
    70  votos: 6   link
    el 11-08-2009 21:34 UTC por Stash Stash
  10. #10   #8
    Es erronea por que el fallo fue notificado y resulto.
    10  votos: 0   link
    el 11-08-2009 21:36 UTC por diskover diskover
  11. #11   Ampliación:

    Te falta un dato. La IP es un dato de caracter personal y por tanto solo por entrar en su frontpage ya están recabando un dato mio, sin analizar las cookies.

    No estoy en contra de Tuenti por ser Tuenti, sino por como se comportan con gente que no tiene capacidad de valorar a que se enfrentan.
    Por cierto, doy clases particulares de seguridad a crios y de mis ultimos alumnos menores de 14 años, todos siguen teniendo Tuenti, no les han pedido DNI ni leches. O sea que otra patochada más.
    45  votos: 3   link
    el 11-08-2009 21:41 UTC por Stash Stash
  12. #12   #11 El famoso algoritmo que detecta si eres menor de 14, es un camelo .

    Sobre este punto : meneame.net/story/tiene-tuenti-peor-portero-mundo
    16  votos: 0   link
    el 11-08-2009 21:55 UTC por --101913-- --101913--
  13. #13   Te aseguro que mis datos privados no podrán sacarlos de Tuenti.
    7  votos: 0   link
    el 11-08-2009 22:10 UTC por sorrillo sorrillo
  14. #14   #11 www.samuelparra.com/2008/02/24/la-ip-como-dato-personal-insuficiente-p

    Si bien la IP se considera un dato de carácter personal, parece que no puede ser usado como dato probatorio de identidad... bendita ley chorra que tenemos.
    39  votos: 3   link
    el 11-08-2009 22:10 UTC por impalah impalah
  15. #15   hay que ser mal programador para que se te pase una cosa así...

    ¿Estos de tuenti no decían que tenían los mejores programadores de España?
    6  votos: 0   link
    el 11-08-2009 22:11 UTC por waizoken waizoken
  16. #16   Tuenti pertenece en un 30% a la familia Polanco (Grupo PRISA) ¿Que esperais?
    7  votos: 0   link
    el 12-08-2009 02:19 UTC por IP_anonima IP_anonima
  17. #17   Tuenti y Twenti la misma mierda son. Facebook está a una línea de unirse salvo que la idea en sí, la de buscador de personas, es una gran idea y bastante bien hecha, pero lo que es ahora, es una mierda comercial increíble.

    Eso sí, ya me gustaría sacarme ese dinero gracias a la mayoría de garrulos que lo utilizan.
    6  votos: 0   link
    el 12-08-2009 03:00 UTC por suweboh suweboh
  18. #18   Truco: no dar tus datos reales... oh wait!
    14  votos: 1   link
    el 12-08-2009 03:01 UTC por bonobus bonobus
  19. #19   #4 yo no entiendo varias cosas.

    Básicamente, no entiendo casi nada de lo que has escrito... :-/
    10  votos: 0   link
    el 12-08-2009 03:17 UTC por Virtualcharly Virtualcharly
  20. #20   El fallo que permite sacar datos privados es simplemente que Tuenti exista.
    6  votos: 0   link
    el 12-08-2009 03:21 UTC por ventomareiro ventomareiro
  21. #21   Para mí lo que tiene delito es que se pueda manipular una SQL por los parámetros de la URL. Eso ya de por sí es una metedura de pata enorme y no sé a quién en su sano juicio se le ocurriría programar las cosas para que funcionen de esa manera y quedarse con la conciencia tan tranquila.

    En fin, me han obligado a usar una contraseña única e incompatible con ninguna otra página web por mi propia seguridad.
    23  votos: 1   link
    el 12-08-2009 04:03 UTC por --11273-- --11273--
  22. #22   Conozco al menos otros 2 fallos como éste desde hace 3 meses y tras ponerme en contacto con ellos y asegurar que se han corregido siguen en las mismas...
    Lo mismo la solución es publicar una entrada en menéame...
    40  votos: 3   link
    el 12-08-2009 06:26 UTC por --92089-- --92089--
  23. #23   #15 "hay que ser mal programador para que se te pase una cosa así... "

    O no conocer Twitter... xD xD
    (sin acritud)
    6  votos: 0   link
    el 12-08-2009 06:36 UTC por wardent wardent
  24. #24   #23 Acabas de abrir la caja de pandora xD
    7  votos: 0   link
    el 12-08-2009 06:46 UTC por Axelko Axelko
  25. #25   1.- Como no utilizan procedimientos almacenados.

    Porque serán un grupo de desarrollo pequeño con técnicas de desarrollo ágil y no los necesitan. Para proyectos medianos o pequeños en los que los mismos programadores administran también la base de datos los procedimientos almacenados me parecen un engorro.

    2.- ¿Porque siguen utilizando GET?.

    Porque te da URLs que puedes dar a tus amigos y si el diseño está bien hecho te deberían llevar siempre el mismo contenido. Claro que si usan GET para las inserciones, actualizaciones o borrado de datos es una cagada de primer nivel. Google tuvo que retirar un producto de caché porque muchas páginas usaban GET incorrectamente e interfería con carritos de la compra y paneles de administración via web.

    3.- ¿Porque no escapan las variables?.

    Porque los programadores serán novatos y el director de proyecto no habrá escrito una biblia con las buenas prácticas que debe seguir su código. Los programadores hacen lo que pueden, o lo que le dicen sus compañeros con más experiencia pero a veces se les olvida filtrar los datos.

    4.- SSL, ¿para cuando?.

    Esta tiene que ser fácil de cambiar, y un certificado no es tan caro, aunque quizás tengan "hardcodeado" el protocolo en las URL (mal hecho) y no les sea tan fácil cambiarlo. También SSL genera algo más de sobrecarga en el servidor así que igual si portan a SSL tienen que invertir en máquinas.
    69  votos: 6   link
    el 12-08-2009 06:50 UTC por musg0 musg0
  27. #27   Sera que a facebook no le pasa exactamente lo mismo... :roll:

    developers.facebook.com/tools.php
    40  votos: 3   link
    el 12-08-2009 07:14 UTC por txalin txalin
  28. #28   #25 en resumen, que son unos paquetes.
    -8  votos: 2   link
    el 12-08-2009 07:40 UTC por Blaxter Blaxter
  29. #29   Respecto la contraseña en MD5. Bueno, tampoco es que sea un desastre obtener el hash md5 de una contraseña, mayormente porque es irreversible, y obtener la contraseña del mismo es imposible a menos que hagas un ataque de diccionario. Y si usan saltos, aún más difícil. Pero si se puede inyectar código SQL, no creo que lo hagan :-P

    Por cierto, MD5 más vale ir dejando de usarlo (admito que lo he usado para cifrar algunas contraseñas), salvo para cosas tontas:
    en.wikipedia.org/wiki/Md5#Vulnerability
    10  votos: 0   link
    el 12-08-2009 07:42 UTC por --17128-- --17128--
  30. #30   Tuenti debe tener muchos fallos de estos, ya que al final del video aparecen otros muchos donde te indican como hackear cualquier cuenta de tuenti... Yo los he probado y funcionan :-D :-D :-D

    Y también hay de facebook y hotmail!
    6  votos: 0   link
    el 12-08-2009 08:07 UTC por Ibson Ibson
  31. #31   Yo me iría de tuenti, o pondría una contraseña independiene con datos falsos. Es la comunidad que más problemas de seguridad y debilidades que he visto, por tamaño.
    16  votos: 1   link
    el 12-08-2009 08:31 UTC por Alvarete Alvarete
  32. #32   Tuenti, el nuevo messenger.
    10  votos: 0   link
    el 12-08-2009 09:14 UTC por PeiT PeiT
  33. #33   www.securitybydefault.com/2009/07/no-no-uses-captchas-ni-ningun-otro.h

    Otro agujero que ya resolvieron que permitía sacar contraseñas por fuerza bruta.
    23  votos: 1   link
    el 12-08-2009 10:53 UTC por yonni yonni
  34. #34   No sé por qué siempre que sale una noticia sobre Tuenti trata de algún fallo muy gordo de seguridad, privacidad, etc. No entiendo que aún haya gente que deje ahí sus datos personales.
    6  votos: 0   link
    el 12-08-2009 11:22 UTC por dtordie dtordie
  35. #35   C R A C K E A R
    6  votos: 0   link
    el 12-08-2009 11:37 UTC por --142738-- --142738--
  36. #36   #25 Las preguntas eran retoricas, pero te contesto.

    1.- [..]_Porque_ serán un grupo de desarrollo pequeño con técnicas de desarrollo ágil y no los necesitan. Para proyectos medianos o pequeños en los que los mismos programadores administran también la base de datos los procedimientos almacenados me parecen un engorro. [..]

    Lo siento no esta justificado, Tuenti no es un proyecto pequeño.

    Yo administro SOLITO bases de datos de Oracle y MSSQL de varios centenares gigas de tamaño, y todo va con procedimientos almacenados, y solo tengo 400 usuarios, así que ya me dirás.

    Nota : muchos de los procedimientos son de programadores anteriores a mi, pero curiosamente todos hemos codificado igual y sin conocernos, eso se llama profesionalidad.

    2.- Estoy de acuerdo contigo, pero para solucionar el problema de los enlaces esta los módulos de reescrituras de los servidores web.

    3.- Lo que demuestra que eso que se llama técnicas de desarrollo ágil no es mas que una patraña, yo soy de la vieja escuela, lo dejo todo muy documentado, y antes de tirar lineas de código (sobre todo en consultas pl/sql y tsql) me lo pienso mucho.

    4.- También de acuerdo.

    Estos fallos de programador novato.
    17  votos: 0   link
    el 12-08-2009 20:39 UTC por --101913-- --101913--
comentarios cerrados

menéame