edición general
406 meneos
 

Tuenti tiene un fallo que permite sacar datos privados de usuarios  

Tuenti repite un fallo de inyección SQL que permitía sacar cualquier dato privado de su base de datos. Permitía que cualquiera pudiese hackear la cuenta de otro usuario sacando su contraseña

| etiquetas: tuenti , redes sociales , internet , tecnología , fallo de seguridad , bug
171 235 1 K 579 mnm
171 235 1 K 579 mnm
Sigo sin entender varias cosas.

1.- Como no utilizan procedimientos almacenados.
2.- ¿Porque siguen utilizando GET?.
3.- ¿Porque no escapan las variables?.
4.- SSL, ¿para cuando?.

y por ultimo

5.- ¿cuando cumplirán la LSSI?

De Tuenti tengo la continua sensación de ser un producto para ser vendido a una tercera empresa, tiene continuos fallos de seguridad y sobre todos no observa la legislación Española en protección de datos.
#4 Te agradezco que me hayas relevado de mi cruzada contra esa panda de trápalas.
#6 Por email varias veces les he solicitado los datos que la LSSI, les obliga a publicar.

¿Sabes cual es su contestación? :

[..]
Me pongo de nuevo en contacto contigo para resolver tu duda.

Tuenti es actualmente una red cerrada, ya que, para poder registrarse, el usuario ha tenido que ser previamente invitado por alguien que ya forma parte de Tuenti.

Una vez que el usuario es invitado, recibe toda la información corporativa qeu exige el artículo 12 LSSI, el

…   » ver todo el comentario
#7 Jeje. Yo he tirado mas arriba.

Email al Ministerio de Industria por lo de la LSSI.
Email a la AGPD por lo de la LOPD y la LSSI
Email a la Asociación de Internautas.

Las respuestas fueron:
Industria: Evasiva del tipo "no es nuestra competencia"
AGPD: Evasiva del tipo "Vale, pero si no denuncias no haremos una mierda"
AI: Inicialmente la abogada no lo veia claro, una vez razonado con ella, vio claro que vulneraban las dos de entrada. Respuesta final: "Ya lo…   » ver todo el comentario
#4 yo no entiendo varias cosas.

Básicamente, no entiendo casi nada de lo que has escrito... :-/
1.- Como no utilizan procedimientos almacenados.

Porque serán un grupo de desarrollo pequeño con técnicas de desarrollo ágil y no los necesitan. Para proyectos medianos o pequeños en los que los mismos programadores administran también la base de datos los procedimientos almacenados me parecen un engorro.

2.- ¿Porque siguen utilizando GET?.

Porque te da URLs que puedes dar a tus amigos y si el diseño está bien hecho te deberían llevar siempre el mismo contenido. Claro…   » ver todo el comentario
#25 en resumen, que son unos paquetes.
#25 Las preguntas eran retoricas, pero te contesto.

1.- [..]_Porque_ serán un grupo de desarrollo pequeño con técnicas de desarrollo ágil y no los necesitan. Para proyectos medianos o pequeños en los que los mismos programadores administran también la base de datos los procedimientos almacenados me parecen un engorro. [..]

Lo siento no esta justificado, Tuenti no es un proyecto pequeño.

Yo administro SOLITO bases de datos de Oracle y MSSQL de varios centenares gigas de…   » ver todo el comentario
Ampliación:

Te falta un dato. La IP es un dato de caracter personal y por tanto solo por entrar en su frontpage ya están recabando un dato mio, sin analizar las cookies.

No estoy en contra de Tuenti por ser Tuenti, sino por como se comportan con gente que no tiene capacidad de valorar a que se enfrentan.
Por cierto, doy clases particulares de seguridad a crios y de mis ultimos alumnos menores de 14 años, todos siguen teniendo Tuenti, no les han pedido DNI ni leches. O sea que otra patochada más.
#11 El famoso algoritmo que detecta si eres menor de 14, es un camelo .

Sobre este punto : meneame.net/story/tiene-tuenti-peor-portero-mundo
#11 www.samuelparra.com/2008/02/24/la-ip-como-dato-personal-insuficiente-p

Si bien la IP se considera un dato de carácter personal, parece que no puede ser usado como dato probatorio de identidad... bendita ley chorra que tenemos.
Sera que a facebook no le pasa exactamente lo mismo... :roll:

developers.facebook.com/tools.php
Conozco al menos otros 2 fallos como éste desde hace 3 meses y tras ponerme en contacto con ellos y asegurar que se han corregido siguen en las mismas...
Lo mismo la solución es publicar una entrada en menéame...
www.securitybydefault.com/2009/07/no-no-uses-captchas-ni-ningun-otro.h

Otro agujero que ya resolvieron que permitía sacar contraseñas por fuerza bruta.
Para mí lo que tiene delito es que se pueda manipular una SQL por los parámetros de la URL. Eso ya de por sí es una metedura de pata enorme y no sé a quién en su sano juicio se le ocurriría programar las cosas para que funcionen de esa manera y quedarse con la conciencia tan tranquila.

En fin, me han obligado a usar una contraseña única e incompatible con ninguna otra página web por mi propia seguridad.
Yo me iría de tuenti, o pondría una contraseña independiene con datos falsos. Es la comunidad que más problemas de seguridad y debilidades que he visto, por tamaño.
Truco: no dar tus datos reales... oh wait!
Hombre a mi si me dais la contraseña de alguien hackeo su cuenta en un momento xD.

Digo esto porque la entradilla parece que dice que si sacas su contraseña le puedes hackear la cuenta ;).
Respecto la contraseña en MD5. Bueno, tampoco es que sea un desastre obtener el hash md5 de una contraseña, mayormente porque es irreversible, y obtener la contraseña del mismo es imposible a menos que hagas un ataque de diccionario. Y si usan saltos, aún más difícil. Pero si se puede inyectar código SQL, no creo que lo hagan :-P

Por cierto, MD5 más vale ir dejando de usarlo (admito que lo he usado para cifrar algunas contraseñas), salvo para cosas tontas:
en.wikipedia.org/wiki/Md5#Vulnerability
Tuenti, el nuevo messenger.
#23 Acabas de abrir la caja de pandora xD
Te aseguro que mis datos privados no podrán sacarlos de Tuenti.
Tuenti pertenece en un 30% a la familia Polanco (Grupo PRISA) ¿Que esperais?
Tuenti debe tener muchos fallos de estos, ya que al final del video aparecen otros muchos donde te indican como hackear cualquier cuenta de tuenti... Yo los he probado y funcionan :-D :-D :-D

Y también hay de facebook y hotmail!
Sé que en su día se desveló un bug de esta red social, pero pensé que lo habían subsanado.

Bastante peligroso este tema, porque la gente tiene la manía (dejémoslo en costumbre xD) de dejar sus datos personales en estas redes, y luego pasa lo que pasa...
Tuenti y Twenti la misma mierda son. Facebook está a una línea de unirse salvo que la idea en sí, la de buscador de personas, es una gran idea y bastante bien hecha, pero lo que es ahora, es una mierda comercial increíble.

Eso sí, ya me gustaría sacarme ese dinero gracias a la mayoría de garrulos que lo utilizan.
No sé por qué siempre que sale una noticia sobre Tuenti trata de algún fallo muy gordo de seguridad, privacidad, etc. No entiendo que aún haya gente que deje ahí sus datos personales.
El fallo que permite sacar datos privados es simplemente que Tuenti exista.
C R A C K E A R
hay que ser mal programador para que se te pase una cosa así...

¿Estos de tuenti no decían que tenían los mejores programadores de España?
#15 "hay que ser mal programador para que se te pase una cosa así... "

O no conocer Twitter... xD xD
(sin acritud)
#0 ERRÓNEA : "El fallo fue notificado al equipo de Tuenti y tras unas horas se pusieron en contacto para resolverlo"
#5 La noticia no es errónea.

[..]
errónea
Este voto lo merecen los envíos que tienen errores. Por ejemplo, consideramos erróneos los envíos donde el enlace no funciona, no cumple las normas, o la noticia a la que apunta contiene información falsa. Si la noticia está mal redactada o tiene un título incorrecto, pero de todas maneras el enlace te parece interesante, es recomendable no votarla positivamente, sino dejar un comentario explicando el error y pidiendo a los usuarios con capacidad de edición que corrijan la noticia.
[..]

El autor de la bitácora ha tenido sentido común, primero se pone en contacto con la empresa para que resuelva el problema, y una vez resuelto (o eso creemos) lo publica.
#8
Es erronea por que el fallo fue notificado y resulto.
comentarios cerrados

menéame