Abril 30th, 2009 
Nota: Pido disculpas por estas horas de caída del blog, todo ha sucedido por la reciente migración a otro proveedor del que ya hablé (y del que, por cierto, retiro toda crítica positiva). Así que me he vuelto a DreamHost (KJKSZPJ, el cupón de descuento anual, sigue activo) que, a pesar de ser más lento, lo aguanta todo :-)
No son pocos los escépticos con la seguridad y privacidad en las redes sociales. Yo, personalmente, estoy tanto en Facebook como en Tuenti (teniendo más actividad en este último). Para los que no la conozcan, o sólo les suene, la Wikipedia nos cuenta algo:
Tuenti es una red social virtual dirigida a la población joven española. Permite al usuario crear su propio perfil, subir fotos y vídeos y contactar con amigos. Tiene otras muchas posibilidades como crear eventos y etiquetar amigos en fotos. Se caracteriza también por su potente buscador.
Inaugurado en enero de 2006, Tuenti es uno de los sitios web más visitados en España, según Alexa Internet.
Por ejemplo, recientemente, se publicó una vulnerabilidad XSS de Facebook que permitía robar las cookies de cualquier usuario en unas determinadas circunstancias, haciendo insegura instantáneamente a la red social en cuestión. Otra, no tan reciente y más leve, permitía en Tuenti ver la lista de amigos de otro usuario, aunque éste no lo hubiera permitido previamente.
Toda aplicación web es suceptible a agujeros de seguridad. Es imposible que no existan. Aunque lo que no es imposible es trabajar lo máximo posible para reducir esos pequeños errores. Porque los agujeros de seguridad son sólo simples fallos de programación, y le pueden ocurrir desde al más primerizo al profesional que lleva toda una vida dedicada a la programación.
Esta vez vamos a centrarnos en Tuenti ya que es la red social que, con diferencia, más utilizo. Sergio y yo hace algún tiempo que miramos sitios donde encontrar vulnerabilidades para poder notificarlas y después publicarlas. Dependiendo de la gravedad, se publican en el mismo día, sin que se hayan arreglado (1, 2) o se espera un tiempo prudente para publicarlas. Y esta, en Tuenti, es una de las últimas que hemos descubierto.
Contacté ayer con Ícaro Moyano (director de comunicación de Tuenti) aprovechando que tengo contacto directo con él, para explicar la vulnerabilidad a los desarrolladores y de paso mostrar un PoC interesante. Le expliqué que se trataba de una vulnerabilidad extremedamente crítica. Por el momento, sigo a la espera.
Cierta combinación escrita en un tablón de cualquier usuario, podría conseguir que se inutilizara, y que ni él ni nadie pudiera leer ni responder comentarios. El riesgo empezaba a ser interesante aunque no comprometedor, pues lo máximo que podría ocurrir es que el usuario contactara con soporte, ellos lo detectaran y le pusieran arreglo.
Pero no, no es lo peor en realidad. Eso sólo significaría la punta del iceberg. Teniendo en cuenta que el XSS es aplicable en cualquier lugar (tu propio tablón, el de otra persona, comentarios en imágenes…), esto funcionaría como un verdadero gusano. Un gusano que se transmitiría de un usuario a otro a una velocidad vertiginosa, sin que se diera cuenta, haciendo que en pocas horas miles y miles de usuarios estuvieran bajo las manos de todo esto. Y montando un sistema automatizado detrás, hacerse con todas las cuentas rápidamente, dejando la privacidad de todos los usuarios al descubierto, al igual que sin sus preciados datos. Pero por ahora, no voy a dar más detalles, como es lógico.
Esto es tan sólo una muestra de fragilidad que una red social puede tener, que la privacidad nunca es “privada” y que en cualquier momento todo puede ser desmontado (en este caso, en una sola – pero larga – tarde se dio con ello). El tiempo de reacción en estos temas indica el nivel de importancia que se le da a los usuarios desde el equipo dirigente de la red social en sí.
Información Bitacoras.com…
Esta anotación ha sido propuesta por un usuario para ser votada en Bitacoras.com.
Para que el proceso finalice, deberás registrar tu blog en el servicio….
y a que esperas para publicarlo? xD
MUERTE A TUENTI!!!! xD
destruyelo!!! oh wait……………………..
que listo es mi niño :*
Es indignante que la gente de Tuenti pase del tema, es una vulnerabilidad muy grave que podría acabar con TODA la red en cuestión de horas.
Chú y para mi no hay beso? :( Si no fuera por mi, esta vulnerabilidad no seria posible [/ego]
Nunca habeis visto eso de “si mañana murieras, que harias hoy?” yo lo tengo claro: hacer un gusano y acabar con Tuenti xD
Lo que no solemos tener en cuenta es el factor “ego” de los programadores. Alguno lo tienen más desarrollado que otros, y no les gusta dar síntomas de humildad. Explicar que hay una vulnerabilidad es una labor que me parece de lo más honrada, y es una lástima que no quieran darse cuenta de que esa información podría haberse usado para otros menesteres.
En fin, quizá no se podía esperar más.
oh, vaya, no estoy en ninguna de esas redes sociales y a lo mejor no soy nadie xDDD, pero cuando lo arrecles todo todo y todo igual me apunto
Asco de ego no?, bueno ya nos podemos dar una idea de lo mierda que es Tuenti (como toda web española,menos jisko,obvio xD) y de lo mierdas que son sus programadores y su equipo
Tuenti nunca se caracterizó por ser una red segura y me parece genial que os encontréis con este hallazgo. Si no os hacen caso, liberadlo. Veréis que rápido lo arreglan.
Yo que tú la reventaba sin lugar a dudas…
Mi opinión de Tuenti era nefasta, pero después de una charla de Ícaro Moyano, ya es nefasta del todo, básicamente lo único que les preocupa es que les metan publicidad…
Ellos sabrán pero me parece indignante que no tomen medidas con algo tan grave. Tuenti es una red absurda e inútil que está absolutamente eclipsada por las capacidades de Facebook. Aunque claro, en Facebook no puedes llevar la cuenta de las visitas a tu perfil o cotillear quién está conectado y quién no…
hahahahah el puto amo!
mientras no te responden te puede ser útil eso no? :)
venga crack, animos!
No entiendo porqué tu post no hace ping en bitácoras si no aparece. Al tema, si no te hacen caso el problema es suyo, que lo exploten y fuera!
Cúlpales.
Saludos!
Tuenti = Todos Ustedes Están Negando Tener Intimidad
Si, es malo, algún problema? xD
Joer tio que cracks! a ver si os fichan alguna empresa de estas de seguridad
Juasazo, se puede liar parda, cosa fina mandarina ;-)
Confiemos en la “modestia” de los programadores, mas les valdria arreglar el tema.
@JorgeGn: Gracias, pero el problema es que esto es España, aquí ni arreglan la vulnerabilidad. Si fuera Estados Unidos ya lo hubieran arreglado y nos hubieran contratado como contrataron al chico que encontró un bug en Twitter.
@Omega: De nada. Vaya pareces desanimado, pues si yo fuera vosotros no me desanimaria por que con lo que valeis seguro os lloveran ofertas de trabajo.
suerte y animo!!
Qué julays xD
Vulnerabilidad crítica en Tuenti…
[C&P] Cierta combinación escrita en un tablón de cualquier usuario, podría conseguir que se inutilizara, y que ni él ni nadie pudiera leer ni responder comentarios. El riesgo empezaba a ser interesante aunque no comprometedor, pues lo máximo q…
omega, no te lo mereces por juanker pero bueh (mientras no me puteeis, podéis hacer lo que queráis, aunque sería más fácil que os fuerais a jugar a la pelotita xD) :*
De todos modos, no entiendo por qué no publicas la vulnerabilidad. Como tu mismo has comentado, los pasos a seguir son:
-Comunicarlo a la empresa.
¿Que la empresa no hace ni puto caso? Pues la publicas, y que se las apañen ellos como sea en caso de que alguien haga un mal uso de ella.
¿Aún estais esperando contacto por parte de Tuenti? En otras ocasiones cuando les han notificado el error se han puesto a solucionarlo y cuando lo tenían reparado, entoces se han puesto en contacto para dar las gracias o aclarar algún detalle.
Hoy concretamente nos hemos publicado en http://www.tuentiadictos.es/vulnerabilidad-en-los-videos-de-tuenti/ de un mini bug XSS que ha decubierto Dimitrix y a estas horas ya no está disponible.
Estamos a la espera de vuestro desenlace ;)
Un Saludo
@Tuenti :: Adictos: Increíblemente la nuestra sigue en activo (acabamos de comprobarla) así que si el lunes no hay respuesta, tomaremos medidas. Hay que darles un tiempo de respuesta prudente (aunque yo hubiera reaccionado de inmediato…).
joder, hasta el lunes? hasta el domingo como mucho xD
Tuenti R.I.P xD
[...] me lo voy a coger para ver qué tal y si sigue funcionando igual de bien que cuando los dejé. Y si no, siempre podéis usar el código de promoción KJKSZPJ en DreamHost, si pagáis anualmente, para [...]
Asi os j0dan a todos, que sois unos asociales.
Destruye destruye!
“Tener Tuenti es lo más parecido a tener al Demonio dentro…”
Joaquín Reyes
¿Publicáis o no? ;-)
@Farenheit: mañana por la noche estará publicada.
facebook!!
[...] Esto es una explicación sobre la anterior entrada. [...]
si eso es cierto? a que esperas?xD muerte a tuenti! pero podrias explicarme como va exactamente puede que no me guste tuenti pero es solo por curiosidad porque hay cosas que no veo logicas
Vulnerabilidad crítica en Tuenti…
El pasado día 30 de abril, Rubén Díaz Alonso (aka outime) y un servidor, encontramos una vulnerabilidad critica en Tuenti, una de las redes sociales mas usada en España. Después de 5 días los de Tuenti han arreglado la vulnerabilidad ……
Lo peor es que ahora “para solucionarlo” las imágenes no se ven directamente insertadas en los comentarios-tablones y hay que acceder al enlace…
Quizá Ìcaro sea un hombre ocupado, quién sabe. Si quieres avisar de algún problema de este tipo lo mejor que puedes hacer es enviarlo a las direcciones definidas en el punto 5 del apartado “Mailbox names” del RFC 2142. Seguramente lo entenderás :). Un saludo.
Lo cierto es que lo chicos de Tuenti cuando se dan cuenta de alguna vulnerabilidad la reparan de inmediato.
@tuenti web: si si, inmediatamente, a los 5 dias y despues de la precion de haber salido en meneame :)
[...] (i la segona pàgina amb més tràfic de l’Estat després de Google). Com a bon hacker, ho va notificar als responsables, i no es va aprofitar de poder gestionar, modificar i esborrar qualsevol compte d’usuari de [...]
Es normal que haya este tipo de bugs, el tuenti es una red social relativamente joven y aun le queda mucho camino para llegar a ser como el facebook en todo el mundo.
Apple Artículos bbva bing Blog campusparty Chorradas cp2009 diazr ebay ebe ebe09 eci eeuu españa eventoblog Eventos glongas google hosting jisko longas macbook meneame microsoft mvc Opinión Personal php plantilla programacion randomness Reflexiones Relatos salud Seguridad sevilla skype theme tuenti twitter twittmad vida windows yoigo