EDICIóN GENERAL
454 meneos
 

Agujero de seguridad en Tuenti

C&P: El tuenti es entretenido, tanto que me he puesto a cotillear y no he parado, sin embargo, ha llegado un momento, que para continuar mi cotilleo, me hubiese sido útil poder ver la lista de amigos de alguien que no es mi amigo, sin embargo, en teoría eso no se puede… Lo interesante, es que si en www.tuenti.com/#m=amigos&uid=X en lugar del número uid de nuestro amigo, ponemos cualquier otro, podemos ver también la lista de sus amigos.

| etiquetas: tuenti , bug , seguridad
215 239 1 K 712 mnm
215 239 1 K 712 mnm
Hay un error de concepto elemental que se le ha pasado por alto al del post:

No es un agujero de seguridad en tuenti. Tuenti es un agujero en la seguridad.
Me dedico desde hace 10 años a programar en web y si eso es cierto, me parece un error DE NOVATO con mayúsculas.

Si dices que tiene más fallos de este tipo, es hora de que contraten a profesionales en sus desarrollos.
Yo no tengo cuenta en Tuenti ni en Facebook ni en ninguno de esos sitios, para que no se vea que soy un asocial que no tiene amigos.
A ver una aclaración:

1. No se puede ver en tuenti la lista de amigos de un desconocido
2. El bug permite ver la lista de amigos de un desconocido en tuenti, sabiendo su id
3. El id de un perfil de tuenti no es secreto, es muy fácil conseguirlo
4. en el artículo hay un script para greasemonkey (una extensión del firefox) que una vez instalado, se te agrega un nuevo botón, llamado 'ver sus amigos', disponible en cualquier perfil, aunque no tengas acceso a el.

Con todo esto, que dudas hay? que peleas? que flames?

Esto es lo que hay, nada mas.

Que en facebook se puede saber quienes son los amigos de cualquiera? vale, pero en tuenti no, solo los de tus amigos.

¿Que problema hay?

Lo digo por #43 y similares :-)
#3 Si lees la noticia entera te podrias enterar que el autor del post ya se va a poner en contacto con el staff de tuenti para comunicarles los fallos más serios
edit: bah, llegue tarde xD
#7 ¿POST más bonito y discreto que GET? ¿Te suena la palabra bookmark? En fin...
#9 Pero la tienes en menéame ;) Al final todos caemos en alguna red social xD
Esto sí es un agujero de seguridad. Con esto quedan comprometidos datos que igual nosotros no queremos revelar.

#22, sólo si lo permites explícitamente en tu perfil. Aunque creo que viene activado por defecto (seguro a un 80%).
Jcarlosn eres famoso, te van a hacer millonario y vas a tener un un bentley

rooibo.wordpress.com/2009/02/18/agujero-de-seguridad-en-tuenti/#commen

:roll:
#9 eres un paria xD
Pues yo lo he probado y la verdad es que no funciona eso que dice el meneo... y si se refiere a ver los amigos de la gente donde puedes entrar, por "Amigo de amigo", no es un bug, está hecho así...

EDIT: Miento, acabo de re comprobarlo y sí, sí que va, pero, de que sirve si no puedes entrar?
Pues igual que en Menéame: meneame.net/user/r0uzic/friends

Si es que se le puede llamar «fallo de seguridad» a eso.
#3 lee el final del artículo :-)
#48 sólo 5? te dan 10 para empezar, y cada vez que buscas amigos a través de tus libretas de contacto (sea msn, gmail etc) te dan otras 20... para mi lo de beta privada, en tuenti, es de chiste. Beta será, pero privada desde luego que no cuando media España tiene perfil...

Y sobre los que dicen "es que en facebook se puede saber la lista de hamijos", sí, viene así por defecto, pero con toquetear las opciones de privacidad (que más de uno no habrá ni mirado) se puede hacer que no vea nadie ni tu foto del perfil, ni que amigos tienes ni nada, a no ser que le aceptes. Es más, os invito a que busquéis mi perfil e intenteis tener algo de información sin que os tenga como amigo.
#23 tambien puede ser una web para compartir fotos de un concierto, de una merienda, etc. o para contactar con personas que hace tiempo perdiste el contacto, y así podemos seguir.

Las redes sociales no son solo chiquilladas, deberíais comprenderlo y, simplemente, darle un uso correcto.
#25 hombre, GET + mod_rewrite :-)
#9 yo tampoco tengo y ni falta que me hace, como es la ultima moda todo el mundo se apunta, pero en realidad es una puta mierda donde cuelgas tus fotos y la peña escribe comentarios diciendo: jaja menuda noxe pasamos tio! luego t enrrollastes con la vane y tu novia te dejo!! jaja menuda noxe!!
O tambien es poner una lista de amigos con gente con la que no te hablas, ni siquiera la miras pero comentas sus fotos. Entonces, ¡¡VIVA LOS PARIAS!!

#20 Tuenti es un agujero a la moda tecnologica estupida.
Hasta los huevos de Facebook, Tuenti y la madre que los parió.
instalandose tuentifox (la extension esta en la web de mozilla) te mete una opcion q si dejas el raton encima de una foto se amplia... si te vas a alguien fuera de tu red y dejas el raton en la foto principal se amplia en grande y con colorines......algo es algo

sl2
#47 Esa es la excusa más burda y cansina que he escuchado - no lo digo por ti, es que ya la he escuchado más de una ocasión, y a más de un desarrollador- . El cuento de " está en beta, si tiene errores, no os quejes" no cuela cuando eres una de las páginas más activas de España por jóvenes , y aun más cuando tienes tantos usuarios.

Si es beta, haces la beta privada, pero de verdad, y una vez que funciona, lo lanzas. Pero eso de lanzarlo como "beta" con invitaciones a 5 usuarios, es un chiste obviamente es con fines de márketing, tan sólo hay que hacer potencias para saber el resultado.
jolines jugando a hackers en los tiempos libres xD
Rouzic y su afán crackerflap :-D
facebook y tuenti en portada de meneame
// ==UserScript==
// @name tuentihacks
// @namespace tuenti
// @include www.tuenti.com/*
// ==/UserScript==

var column = document.getElementById('column-550');
var els = column.getElementsByTagName('a');

myRe = /addFriend(([0-9]+)/g;
for (var i = 0; i < els.length; i++) {
var clk = els[i].getAttribute('onClick');
var arr = myRe.exec(clk);
if(arr) {
var id = arr[1];
var btn = document.createElement('a');
btn.setAttribute('href','…   » ver todo el comentario
#5 ¿Contratar profesionales dices? ¡JA! Eso es muy caro. Mejor unos becarios de la pontificia de Comillas que sale mas barato (supongo que son de esa procedencia por el perfil de los primeros uids de tuenti ^^'.
Agujero de seguridad no, pero sí un ejemplo más de la "alta privacidad que te proporcionan las redes sociales"
</sarcasmo>
#9 pringao!!
#53 perdona, no sabía que te molestase que, por ejemplo yo, comparta fotografías con mis compañeros de trabajo y organicemos quedadas a través de esta red social.

Tuenti no es ninguna moda, es un portal útil que, al igual que meneame, se basa en COMPARTIR información. Claro que si te jode que los demás lo hagan sin que a ti te afecte, puede que tengas un problema contigo mismo o con todos los que te rodean.
Joé, y decía que Tuenti era seguro OWNED.
Eso no se hace niño, con eso no se juega, dale...

Chapuceros!
Como si lo viese venir:
KIERO ENTRAR E MI KUENTA DE TUENTI Y NO ME DEJAN. HE PERDIO LA CLAVE LA KUENTA S MIA. AYUDENME POR FABOR. GRACIAS DE ANTEBRAZO.
:-D
Si la pagina deja hacerlo pinchando el link "amigos" mientras visitas el perfil de un amigo... por que lo llamais BUG? porque sirve para gente que no es tu amigo? No lo veo tan "alarmante"...

Venga, otro "bug". Si cuando vas a ver un perfil no te deja verlo por no ser su amigo (o cercano), si en FFox, le das a ver imagen, y en la url, cambias el 120 por un 500, aiva! ves la imagen en grande...

Ale, vuelvo a mis estudios xD
Cada día me doy más cuenta de lo cutre que es Tuenti xD
aqui está el script bien explicado: www.youtube.com/watch?v=2WWecIzaNeI
Para quien le interese, el desenlace:

rooibo.wordpress.com/2009/02/20/tuenti-solventa-todos-los-agujeros-de-

Un 10 para tuenti.

:-)
#73 no conocía tu web, y acusar falsamente como haces, no está nada bien amigo pepelu :-)

Me parece genial si ya conocías el fallo de antemano, también conocías el XSS que he reportado en privado? el de los eventos? :-)
#75 primero me tachas de plagiador (erroneamente, pues yo mismo descubrí esos agujeros en tuenti, y si tu anteriormente habías ya descubierto alguno, pero no lo habías comunicado a tuenti, por lo cual, era algo de tu "entorno" o de quien te conociese a ti o a tu web, me parece bien, pero yo no tenía por que saberlo) y luego me dices que no quieres entrar en debates de este tipo, interesante ejemplo de tiro la piedra y escondo la mano :-)
¿que es tuenti? ¿alguien sabe por qué la página de webon ya no se actualiza? ¿y por qué ya no puedo acceder a infovia marcando el 055? gracias.
para #50 y los que dicen que no va el script:

img27.imageshack.us/img27/9749/imagen5mr6.png

:-)

fijaos en el tercer link que tengo, al lado de 'Agregar Amigo' xD
#57 No sé si será correcto que hayas puesto ese link. De todas formas he entrado por curiosidad y puedo acceder al perfil de 5 de ellos (sin contar una hermandad religiosa). Deben ser amigos de mis primas de Sevilla.

Una cosa que le falta al Tuenti: Saber la cadena que lleva a un desconocido de quien puedes ver el perfil hacia ti. Saber de cuál de tus amigos es amigo. Es una opción que debe ser muy fácil, bastante interesante, y que no entiendo por qué no existe.
#36

muahahaha buenisimo la imitación de hoygan xD

Ya veras lo que tarda en aparecer alguien que diga algo así, o aquí en el enlace de la noticia :-D
Gracias por revelarselo a todo el mundo... xD
Bueno, no tengo tuenti pero...

if {$uid=$idusuariologueado){
mostraramigos($uid);
}else{
echo "estos no son tus amigos";
}
hay que probarlo :-S
#58 jops no me va :-( Mejor así no me llevo un rato alcahueteando :-D
#52 todos con tuenti no, sólo los pringaos que se dejan influir por las modas.

El rebaño.
Eso también pasa en Facebook, puedes ver los "amigos" de una persona que no es tu "amiga"
y ese enlace no es el mismo que aparece en el link amigos de la parte derecha al ver el perfil de un amigo?
#7 Y para esconder el código fuente, en vez del HTML les pasamos un screenshot de la pagina a los usuarios... xD
En www.TuentiAdictos.ES hay un enlace de descarga con el script para el que no le funcione copiar y pegar.
#51 puedes pasarte el .xpi compilado???
a mi tampoco me funciona el script con el greasemonkey
pues vaya patraña de bug de mierda, aqui va uno bueno utilizando el mismo "modus-operandi" sacado de un foro:

www.mediavida.com/vertema.php?fid=90&tid=316195&pagina=14#399
asi podemos ver los culpables de que se extendiera poniendo id como 1 o mas bajos xD
Vi en tuentiadictos un link hacia tu web que ponia ... la pagina del descubridor. Por eso lo dije. Y creo que el que esta mosqueandose eres tu, pues a mi me es indiferente.
tecnicamente, y según reza en la pantalla de login, tuenti es una Beta... eso lo deberian de saber todos aquellos que se "hacen" tuenti, asi que ahora no deberían quejarse. Yo por mi parte, me expongo a ello, y no me importa... las cosas importante desde luego no las hago via tuenti...
Yo no lo veo como un error de seguridad, aquí lo único que conoces son las amigos de una persona agena a tu tuenti, y que se pueden buscar a través del propio buscador de Tuenti. Por tanto, es un fallo que se queda en una tontería.
No solo se da ese bug en Tuenti, el otro día visitando el perfil de un amigo, se le fue la pinza y de repente pasé a ser una moza (de muy buen ver por cierto) aunque no me dejaba realizar ninguna acción de edición/eliminación, si que me dejaba ver todos sus mensajes, páginas de edición de opciones... ¿le ha pasado a alguien más?
#5 Y tanto que es de novato, yo esas comprobaciones las pongo hasta cuando hago páginas que sólo tienen dos o tres cosas chorras, como para no ponerlo en algo con datos privados ^_^
Pues en greasemonkey el script no funciona...
pero el script que pone en la web ese que hay que hacer con el????
he intentado probarlo, pero con las uid es una mierda y no se hacerlo con el nombre
Esto es más viejo que el meao...
#57 Frivolizando... te van a coser a negativos
Agujero de seguridad sería si las contraseñas se viesen comprometidas, o que se pudiesen añadir/borrar datos en cuentas ajenas.

Esto es más bien un bug, ¿no?
Rooibo dice el 18/02/2009 que descubrió ese fallo de seguridad en Tuenti ... como podeis ver en www.pepelux.org llevo desde el 10/02/2009 publicando scripts y programas que usan este fallo. Me da que Rooibo se atribuyó un mérito de algo que puse en varias foros

Eso no esta nada bien amigo Rooibo

Como añadido diré que el parche de Tuenti ha sido 'a medias' puesto que la versión 1.4 de TuentiPlus vuelve a saltarse este fallo ... podeis comprobarlo
Buenas, lo que menos ganas tengo es entrar en debates de este tipo. La verdad es que me es indiferente todo esto y no merece la pena discutir.

El fallo de XSS lo vi googleando en varios sitios. Desconozco si lo has descubierto tú o no.

Un saludo
De toda la vida se pueden ver los amigos de los demas.... fuerte error.... :-S :S Fuerte hacker.....
Agujero se seguridad es mucho decir...
Pero los admin de tuenti tambien podian usar POST en vez de GET; que queda más bonito y mucho más discreto
No vale para masturbarse con las fotos de las puticas... son muy pequeñas...
comentarios cerrados

menéame