Bug de seguridad en Tuenti utilizando el Nick

Ya hemos hablado de diversos fallos en Tuenti (aún sigue en su versión Beta) y ha aparecido un nuevo fallo de seguridad que permite prácticamente el control total sobre la cuenta de un usuario. Tal y como cuenta FrikiLog.net, el fallo permite explotar los nick´s del Messenger para hacer un ataque XSS.

Un usuario del Messenger que aún no tenga cuenta en Tuenti puede colocarse un nick que cuando algún amigo del Messenger intente usar la herramienta de Tuenti «¿Amigos en Messenger, Yahoo! o Gmail? ¡Encuéntralos en Tuenti!» para enviar invitaciones, se podría «hackear» cuentas de Tuenti.

Este bug se puede combinar con el truco de tuenti para insertar fotos en comentarios y conseguir, por ejemplo, borrar la cuenta de una víctima conociendo su código ‘csfr’. Puedes visitar la web de FrikiLog.net para conocer todos los detalles de la seguridad en Tuenti.

Decir que yase ha notificado a Tuenti y han sido corregidos algunos detalles peligrosos como por ejemplo de la petición de contraseña para el cambio de la dirección de correo y la publicacción del valor ‘csfr’ en el cierre de sesión.

Redes Sociales Bug de seguridad en Tuenti utilizando el Nick | Tuenti :: Adictos Red Social en Internet Bug de seguridad en Tuenti utilizando el Nick | Tuenti :: Adictos dice:

30 abril 2009 a las 4:56

[…] Leer la noticia completaBug de seguridad en Tuenti utilizando el Nick | Tuenti :: Adictos […]

Responder

pitu dice:

2 mayo 2009 a las 17:52

ke mierda

¿Se cuela Google en Tuenti.com? | TuentiAdictos.ES dice:

18 agosto 2009 a las 20:35

[…] Entre algunos de los datos que aparecen en Google podemos encontrar varios números identificadores de usuarios junto a su correspondiente código csfr (el cual ha sido utilizado en más de una ocasión para robar cuentas o explotar algún fallo de seguridad) […]

Deja una respuesta Cancelar la respuesta