Tuenti ofrece varios niveles de seguridad para evitar que los usuarios puedan descargar fotos sobre las que no se tiene permiso, aunque hay varios programas de Tuenti que permiten realizar trucos para descargar fotos bloqueadas como Quitar morralla de Tuenti en Chrome, TuPersonality y TuentiFox en Firefox, TuentiPlus desde el escritorio de Windows o algunos scripts de Greasemonkey para Firefox. En todos estos programas se requiere que al menos se esté viendo la foto que se quiere descargar aunque esté bloqueada la descarga , pero en esta ocasión ha sido solventado un fallo en Tuenti que permitía descargar todas las fotos de cualquier usuario aunque no se tenga acceso a su perfil o no se puedan ver ninguna foto.

El fallo se encontraba en la API privada de Tuenti que utiliza su programa oficial de Tuenti para iPhone o iPod Touch. Tal y como aparece en Menéame y se comenta en Zombies Are Sexy!, en una de las peticiones de datos que se realizan a Tuenti para obtener las fotos de un álbum se podía acceder a las fotos de Tuenti de cualquier usuario.En la web de su descubridor se puede encontrar toda la información detallada, así como descargar el programa utilizado en la prueba de concepto del bug.

Tuenti ha actuado rápidamente y el fallo de privacidad ha sido solventado

Tuenti está constantemente modificando pequeños detalles en la red social, que muchas veces pasan desapercibidos para la mayoría de los usuarios, aunque en otras ocasiones sean miles los usuarios los que detectan algún cambio como cuando estuvo Tuenti caido el pasado miércoles por problemas externos con su proveedor de Internet.

En este caso comentamos el fallo de privacidad que se ha solventado en los eventos privados, ya que se podía acceder a los eventos privados de cualquier usuario simplemente conociendo su dirección web (gracias a Carol por el aviso).

http://www.tuenti.com/#m=Event&func=view_event&event_key=NumeroUsuario_Numero_Evento

Aunque no se conociese la dirección exacta de los eventos, se podía automatizar mediante un programa informático y acceder a información privada de un usuario. Felicidades al equipo de Tuenti por su rápida actuación para solventarlo!

Por otro lado, tal y como nos comenta el usuario Pablo o publica PowerByJorge, se ha añadido una nueva funcionalidad que permite bloquear a usuarios para que no puedan mandarnos más eventos, ya que en muchos casos se estaba convirtiendo en una forma de hacer SPAM en Tuenti, por lo que  incluso hay algunos trucos para eliminar los avisos de nuevos eventos para todos los que están cansados de recibir cientos de nuevos eventos basura cada día.

Este bloqueo de usuarios solo sirve para que no pueda mandarte más eventos, por lo que podrás seguir teniendo contacto con el usuario y si te  arrepientes puedes quitar el bloqueo desde el menú “Mi cuenta->Privacidad” ¿Ves útil esta nueva funcionalidad o tienes alguna otra sugerencia?

El chat de Tuenti permite hablar solo con tus contactos que están conectados, pero tiene un pequeño fallo que permite abrir conversaciones para hablar contigo mismo o “intentar engañarlo” para hablar con cualquier otro usuario de Tuenti.

Los pasos son algo técnicos y se pueden realizar utilizando el navegador Firefox junto al plugin Firebug. En DeTuenti detallan todos los pasos a realizar y con el que se consigue mostrar a cualquier usuario de Tuenti como conectado en el chat y con el que puedes abrir una ventana de conversación. Este truco puedes utilizarse, por ejemplo, para realizar pruebas en el chat con tu propio usuario, aunque quizás sería de más utilidad para Tuenti con Web Cam

Actualización 28-04-2010: Este truco del chat de Tuenti no es un fallo de seguridad en sí, ya que realmente solo permite hablar contigo mismo, en ningún caso te permite hablar por el chat con otros usuarios para los que no tengas permiso.

Tras el lanzamiento de la funcionalidad del historial de estados de Tuenti al estilo de Twitter, se incorporó en los tablones de los perfiles un enlace “Eventos” que permitía acceder a los mensajes con fotos y videos de cualquier perfil privado gracias a un fallo de seguridad

El enlace de la dirección tenía la siguiente forma;

http://www.tuenti.com/#m=Wall&func=view_wall_posts&filter=0
&wall_id=1,NUMEROUSUARIO&ajax_target=wall_posts_content&wall_page=0

En el que se podía cambiar NUMEROUSUARIO por cualquier número de usuario de Tuenti (hay varios métodos de ver el número de usuario de alguien, por ejemplo utilizando TuentiPlus), aunque tenga el perfil privado y se encuentre fuera de tu red de contactos.

Permitía ver todos los mensajes de los tablones, los videos o fotos que aparecían publicadas usando el truco para ampliar fotos de Tuenti.

El bug fue notificado al equipo de Tuenti, a los que hay que felicitar por su rápida respuesta para solventarlo.

La introdución de nuevos cambios en el mundo de la informática siempre conlleva la posibilidad de algún problema inesperado y dado las numerosas novedades que está introduciendo Tuenti en los últimos días (puede que aún queden algunas sorpresas por salir ), produzcan situaciones como las que algunos de los usuarios de TuentiAdictos comentan;

• Albertttt nos comenta que se ha encontrado con un evento en el que “se incluía” dentro la propia web de Tuenti y nos deja esta imagen y vídeo de lo sucedido
• Charman también nos deja un comentario con lo siguiente;
  Hola, no se si fue un error, pero Tuenti habilitó la opción de SMS en mensajes privados, lo cual era tremendamente útil, en el rato que la opción estuvo activa no pude probarlo pero se que no se activó en todas las cuentas. Horas más tarde la opción desapareció, no se si por problemas técnicos o porque no quieren dar soporte a ese servicio.
• Y muchos usuarios se han econtrado con el problema de que Tuenti no carga completo.

¿Te has encontrado con algún problema o novedad diferente?

Hace algún tiempo publicabamos una serie de prácticas que no se debían de realizar en Tuenti, ya que permitían abusar de ciertas funcionalidades de la red social y que fueron solventadas por el equipo técnico. Nos vuelven a comunicar una serie usos indebidos que han aparecido con el nuevo servicio TuentiSMS y que permiten malutilizar Tuenti.

Su autor lo ha llamado “Tuentirrorismo versión 2.0” y se puede leer en su blog. Estos usos inadecuados han sido notificados a Tuenti y seguramente sean solventados en breve.

Desde la cuenta de Tuenti en Flickr avisan de que han renovado su sistema de contraseñas y ahora avisa al usuario del nivel de seguridad que tiene la clave que se introduce en Tuenti;

Para cambiar la clave de Tuenti, tras iniciar sesión, puedes ir al menú superior derecho “Mi cuenta” y seguidamente al apartado “Preferencias de mi cuenta“

Publican un pequeño fallo de seguridad en el envío de invitaciones desde la versión de Tuenti Móvil. El fallo de seguridad es del tipo XSS en el email, es decir, que si se introduce un código preparado en la dirección de correo, en vez de enviarse la invitación se ejecutaría la finalidad del código.

Por ejemplo, si desde http://m.tuenti.com/?m=friends&func=compose_external_invite se introduce como valor del email a@a.com<script>alert(’Alerta!’);</script> , se ejecutará el código javascript que muestra una ventana de alerta.

El fallo ya ha sido comunicado a Tuenti y seguramente sea solventado en las próximas horas.

Aunque es necesario el csfr del usuario, alguien podría preparar direcciones malintencionadas con código javascript y mandarlas a sus posibles víctimas. En la web de su descubridor Dimitrix se puede encontrar más información.

Siguen intentando propagar virus, malware y troyanos en Tuenti.com. Hace unos días os avisábamos de los intentos de propagación de este tipo de amenazas desde mensajes privados en la red social y nuevamente nos avisan de otro enlace web que se manda masivamente por mensajes privados de otros contactos, así como una nueva oleada de falsas webs simulando ser Tuenti para capturar las contraseñas de usuarios.

El usuario Agrodd nos cuenta que se trata de mensajes privados mandados desde la versión de Tuenti Móvil y esto seguramente sea por el hecho de que una vez es infectada una víctima, automáticamente se utilice su cuenta para mandar los mensajes desde la versión móvil, ya que es mucho más fácil crear programas que se salten las limitaciones de la versión web si se conectan a http://m.tuenti.com.

En el Foro ElHacker se puede leer más información sobre el tema, y aunque Tuenti ya está empezando a tomar medidas sobre estas amenazas, no está de mal conocer algunos de los métodos utilizados para robar contraseñas para evitar que nos intenten robar una cuenta o “hackear el Tuenti“

Era de esperar que las redes sociales pasasen a ser objetivo de los virus, gusanos y malware. Han detectado en Tuenti la difusión de mensajes privados cuyo contenido era un enlace que si se visitaba se abría un archivo PDF infectado.

(Foto:Climbo)

Lo comentan desde Menéame, desde donde se enlaza a la web original de la noticia en la que han publicado el código malicioso que contenía el archivo infectado.

Aunque los enlaces a archivos infectados podrían propagarse por email o desde cualquier web, han sido varios los usuarios que nos han informado de estos mensajes con contenido malware, por lo que hacemos un aviso a todos los usuarios de Tuenti ante la posible propagación masiva de este tipo de mensajes. Posiblemente no tarden en aparecer virus en Tuenti y para otras redes sociales, así que un poco de precaución y si sueles usar Windows sin ningún antivirus, instala al menos un antivirus gratuito como por ejemplo Avast o algún otro

Tuenti tiene un fallo de privacidad que permite ver los últimos mensajes que se dejan en un perfil al que puedes acceder pero que tenga configurado el tablón para que nadie lo pueda ver ( o solo amigos). David_est informa de que es posible saltarse esta restricción usando la versión de Tuenti Móvil ( http://m.tuenti.com)

Si no dispones de internet en tu teléfono, puedes acceder a la versión de Tuenti Móvil gratis, por ejemplo, usando Firefox.

Seguramente Tuenti resuelva rápidamente este fallo de privacidad.