Desde la cuenta de Tuenti en Flickr avisan de que han renovado su sistema de contraseñas y ahora avisa al usuario del nivel de seguridad que tiene la clave que se introduce en Tuenti;

Para cambiar la clave de Tuenti, tras iniciar sesión, puedes ir al menú superior derecho “Mi cuenta” y seguidamente al apartado “Preferencias de mi cuenta“

Publican un pequeño fallo de seguridad en el envío de invitaciones desde la versión de Tuenti Móvil. El fallo de seguridad es del tipo XSS en el email, es decir, que si se introduce un código preparado en la dirección de correo, en vez de enviarse la invitación se ejecutaría la finalidad del código.

Por ejemplo, si desde http://m.tuenti.com/?m=friends&func=compose_external_invite se introduce como valor del email a@a.com<script>alert(’Alerta!’);</script> , se ejecutará el código javascript que muestra una ventana de alerta.

El fallo ya ha sido comunicado a Tuenti y seguramente sea solventado en las próximas horas.

Aunque es necesario el csfr del usuario, alguien podría preparar direcciones malintencionadas con código javascript y mandarlas a sus posibles víctimas. En la web de su descubridor Dimitrix se puede encontrar más información.

Siguen intentando propagar virus, malware y troyanos en Tuenti.com. Hace unos días os avisábamos de los intentos de propagación de este tipo de amenazas desde mensajes privados en la red social y nuevamente nos avisan de otro enlace web que se manda masivamente por mensajes privados de otros contactos, así como una nueva oleada de falsas webs simulando ser Tuenti para capturar las contraseñas de usuarios.

El usuario Agrodd nos cuenta que se trata de mensajes privados mandados desde la versión de Tuenti Móvil y esto seguramente sea por el hecho de que una vez es infectada una víctima, automáticamente se utilice su cuenta para mandar los mensajes desde la versión móvil, ya que es mucho más fácil crear programas que se salten las limitaciones de la versión web si se conectan a http://m.tuenti.com.

En el Foro ElHacker se puede leer más información sobre el tema, y aunque Tuenti ya está empezando a tomar medidas sobre estas amenazas, no está de mal conocer algunos de los métodos utilizados para robar contraseñas para evitar que nos intenten robar una cuenta o “hackear el Tuenti“

Era de esperar que las redes sociales pasasen a ser objetivo de los virus, gusanos y malware. Han detectado en Tuenti la difusión de mensajes privados cuyo contenido era un enlace que si se visitaba se abría un archivo PDF infectado.

(Foto:Climbo)

Lo comentan desde Menéame, desde donde se enlaza a la web original de la noticia en la que han publicado el código malicioso que contenía el archivo infectado.

Aunque los enlaces a archivos infectados podrían propagarse por email o desde cualquier web, han sido varios los usuarios que nos han informado de estos mensajes con contenido malware, por lo que hacemos un aviso a todos los usuarios de Tuenti ante la posible propagación masiva de este tipo de mensajes. Posiblemente no tarden en aparecer virus en Tuenti y para otras redes sociales, así que un poco de precaución y si sueles usar Windows sin ningún antivirus, instala al menos un antivirus gratuito como por ejemplo Avast o algún otro

Tuenti tiene un fallo de privacidad que permite ver los últimos mensajes que se dejan en un perfil al que puedes acceder pero que tenga configurado el tablón para que nadie lo pueda ver ( o solo amigos). David_est informa de que es posible saltarse esta restricción usando la versión de Tuenti Móvil ( http://m.tuenti.com)

Si no dispones de internet en tu teléfono, puedes acceder a la versión de Tuenti Móvil gratis, por ejemplo, usando Firefox.

Seguramente Tuenti resuelva rápidamente este fallo de privacidad.

Tuenti es una de las redes sociales de moda, por lo que se convierte en un objetivo interesante para “piratas” de internet. En este caso ha sufrido un ataque de Phishing (web externa que se hace pasar por Tuenti para capturar usuarios y contraseñas) en el que se han robado cerca de 4.000 cuentas de usuarios.

Según informan desde Genbeta;

Tuenti ha actuado rápidamente deshabilitando las cuentas afectadas y en breve empezarán a contactar con los afectados vía email para que sean informados de la situación y puedan resetear sus contraseñas. Ante la pregunta de qué es lo sucederá con los usuarios que tienen la misma contraseña en su dirección de correo, Ícaro no ha querido hacer comentarios más allá de enlazar a la página de privacidad (www.tuenti.com/privacidad) que han activado desde las nuevas direcciones de Tuenti Corporate en la que dan algunas recomendaciones de navegación segura . Así que si usabas la misma contraseña en tu dirección de email, te aconsejamos que la cambies rápidamente.

Ya os hemos hablado en algunas ocasiones sobre los métodos que suelen utilizar para robar contraseñas del Tuenti, pero volvemos a daros algunas pautas para evitar problemas;

• No uses la misma contraseña en Tuenti que en tu correo electrónico
• No introduzcas tu contraseña de Tuenti en webs que no sean las direcciones www.tuenti.com, www.tuenti.es, m.tuenti.com o iphone.tuenti.com
• Cuidado con los programas para Tuenti, usa solo los que sean programas fiables y descargarlos desde sitios conocidos
• Cuidado con los ordenadores desde los que te conectas a Tuenti, pueden tener algún virus/troyano/spyware que guarde la contraseña que escribas

El chat de Tuenti contenía un fallo informático que permitía a un atacante colocar enlaces malintencionados en el texto de la conversación. Si la víctima hacía click en el enlace podían robarle el inicio de sesión de Tuenti o realizaba cualquier otra acción peligrosa.

Dando detalles técnicos, se trataba de un bug XSS en la función window.open() del atributo onclick , ya que si en la dirección del enlace que se escribía se insertaba alguna comilla simple, permitía añadir código javascript que llevase a cabo el ataque deseado. Un ejemplo de enlace que utiliza este fallo puede ser http://cualquiertexto′);alert(′ROBANDO_CUENTA_TUENTI
Este enlace anterior permitía mostrar una ventana de alerta con el texto “ROBANDO CUENTA TUENTI”

El fallo fue notificado a Tuenti, así que si has hecho click en algún enlace sospechoso en los últimos días te recomendamos que procedas a cambiar tu clave de Tuenti.  Se puede leer más información en el foro del Hacker

Aprovechando un pequeño fallo de control en la versión móvil de Tuenti, se ha  creado un programa que permite cambiar la frase del estado automáticamente por una aleatoria de las frases que le digamos.

El programa está hecho en PHP y requiere ciertos conocimientos avanzados para hacerlo funcionar, aunque la idea es fácil. La intención es definir una serie de frases que se irán cambiando en el estado del Tuenti automáticamente y poner que el programa se ejecute cada cierto tiempo deseado.

La parte más técnica para usar el programa consiste en introducir tu cookie “msid” de http://m.tuenti.com (puedes usar Kookie Editor desde Firefox) y tu código “csfr” (se puede usar Tuenti Plus o mirar el código fuente de la web). A continuación necesitas guardar el fichero autoestado-tuenti.php en un servidor de internet (o en un ordenador que ejecute PHP) y dejarlo programado con algún programador de tareas para que se ejecute cada cierto tiempo (se puede usar crontab)

El funcionamiento técnicamente hablando;
El programa lo que hace es enviar una petición con tu cookie a http://m.tuenti.com/? m=profile&func=process_set_status&from=home&csfr=****** con una frase aleatoria de las 5 que hay  puestas (cambiando los asteriscos por tu código csfr).

Puede que alguien reescriba el programa en otro lenguaje que facilite su uso a cualquier usuario que quiera automatizar el cambio de la frase de estado. Se puede leer más información en la web de Dimitrix

TuentiAdictos ha descubierto un fallo de seguridad en Tuenti que permitía sacar cualquier información de la base de datos de Tuenti. Se podía extraer todos los datos privados (contraseña, email, teléfono, etc.) de cualquier usuario de Tuenti mediante inyección de código SQL.

Recientemente se descubrió un fallo de seguridad que también permitía insertar código SQL desde la versión de Tuenti Móvil (http://m.tuenti.com), pero en este caso se ha encontrado repetido el fallo en www.tuenti.com y podía ser usado por cualquier usuario registrado mediante el parámetro other_user 

Cuando se está viendo un perfil público o de cualquier amigo, en la parte derecha nos muestra los amigos de esa persona y en la parte inferior se puede encontrar la opción “Ver todos”, que muestra todos los amigos de la persona que le estamos visitando el perfil y nos aparece escrita una dirección web como la siguiente;

http://www.tuenti.com/#m=Search&func=index
&scope=friends_of_a_friend&other_user=XXXXXXXX

Las X serían el número del usuario al que le estamos viendo sus amigos (solo se pueden ver los amigos para los que tengas permisos)

Utilizando la explicación que en su día dió Pepelux, si le añades al número de usuario código SQL, la página web se cargará si cumple la condición, y no cargará correctamente si no se cumple la condición.

Por ejemplo;

Si se añade …&other_user=XXXXXXXX+and+1=1 , se está cumpliendo que “uno es igual que uno”, por lo que la página se cargará.

Si se añade …&other_user=XXXXXXXX+and+1=0 , no se está cumpliendo que “uno es igual que cero“, por lo que la página no se cargará correctamente.

Si se tiene conocimientos de SQL se puede crear sentencias para ir averiguando el nombre de las tablas de datos y cada una de sus columnas.

Un ejemplo completo en fáciles palabras que permitía sacar la contraseña de cualquier usuario;

“cuenta el número de resultados de la tabla que tiene los usuarios y que el usuario sea el que tiene el código 123456 y su contraseña empieze por H“

select count(*) from registrados where usuario=123456 and substring(contraseña,1,1)=’H’

Si le ponemos la condición de que el número contado sea mayor que cero, solo se cumpliría si es verdad que la contraseña del usuario 123456 empieza con H.

http://www.tuenti.com/#m=Search&func=index
&scope=friends_of_a_friend&other_user=XXXXXXXX+and(select count(*) from registrados where usuario=123456 and substring(contraseña,1,1)=’H')>0

De esta forma se puede ir probando cada una de las letras o números, la web solo carga correctamente si es el correcto. El proceso se podría automatizar mediante algún programa informático que lo haría rápidamente, aunque para sacar realmente una contraseña se podría hacer a mano en poco rato, ya que las contraseñas en Tuenti se almacenan cifradas en MD5 (32 carácteres en hexadecimal), por lo que cada carácter solo puede ser un dígito o una letra de la ‘a’ a la ‘f’

La inyección fallaba algunas veces, ya que si intentabas acceder directamente a la url con el código de inyección escrito, al precargar la página de Tuenti era filtrado y no funcionaba, por lo que había que hacer el camino de visitar un perfil y pulsar en “Ver todos sus amigos”

El fallo fue notificado al equipo de Tuenti y tras unas horas se pusieron en contacto para resolverlo.

Actualización 12-8-2009; Decir que ninguna aplicación informática está libre de fallos, el problema sería que Tuenti no reaccionase para solventar los bugs y la verdad es que se toman los asuntos de seguridad bastante en serio.

Cuidado al descargar programas para Tuenti, ya que pueden ser algo diferente de lo que aparentan ser. TuentiPlus es un programa para Tuenti del que hemos hablado varias veces, pero en este caso Pepelux (su creador) avisa de que ha aparecido un Tuenti Plus Fake, es decir un programa que simula ser el TuentiPlus, pero que en realidad hace otras cosas malintencionadas.

Puedes ver a Tuenti Plus Fake en http://foro.el-hacker.com/index.php/topic,182855.0.html

Mucho cuidado! Asegurate de que siempre descargas el programa TuentiPlus desde http://www.pepelux.org