Temas Tuenti
Amigos tuenti API Tuenti Bug Tuenti Contactos Tuenti Contraseña Tuenti Descargar Tuenti El Tuenti Eventos Tuenti Fallo Tuenti Fotos Fotos para Tuenti Fotos Tuenti Hackear Tuenti m.tuenti.com Manual Tuenti noticias tuenti Novedades Tuenti Nuevo Tuenti Perfil tuenti personalizar tuenti Preguntas Tuenti Problemas Tuenti Programas Tuenti Publicidad Tuenti Seguridad Tuenti Subir fotos Tuenti Trucos Tuenti Tuenti Tuenti.com Tuenti.es Tuenti 2009 Tuenti API Tuenti Firefox Tuenti iPhone Tuenti iPod Touch Tuenti Móvil Tuenti para Móviles Tuenti Personalizado TuentiPlus Tuenti Web Utilidades Tuenti videos tuenti Visitas Perfil www.Tuenti.com www.tuenti.es
WP Cumulus Flash tag cloud by Roy Tanck and Luke Morton requires Flash Player 9 or better.
Páginas
Recibir Novedades
Top Comentaristas
ana (74)
are16ocean (73)
Espi (52)
albertttt (50)
DemonDary (32)
DJMeu (31)
Jay (29)
lorena (27)
albertttt (26)
bilboemi (24)
dani16 (23)
Pablo (22)
h3rio (20)
larisa (20)
Visitas a mi web (20)
TuentiAdictos ha descubierto un fallo de seguridad en Tuenti que permitÃa sacar cualquier información de la base de datos de Tuenti. Se podÃa extraer todos los datos privados (contraseña, email, teléfono, etc.) de cualquier usuario de Tuenti mediante inyección de código SQL.
Recientemente se descubrió un fallo de seguridad que también permitÃa insertar código SQL desde la versión de Tuenti Móvil (http://m.tuenti.com), pero en este caso se ha encontrado repetido el fallo en www.tuenti.com y podÃa ser usado por cualquier usuario registrado mediante el parámetro other_userÂ
Cuando se está viendo un perfil público o de cualquier amigo, en la parte derecha nos muestra los amigos de esa persona y en la parte inferior se puede encontrar la opción “Ver todos”, que muestra todos los amigos de la persona que le estamos visitando el perfil y nos aparece escrita una dirección web como la siguiente;
http://www.tuenti.com/#m=Search&func=index
&scope=friends_of_a_friend&other_user=XXXXXXXX
Las X serÃan el número del usuario al que le estamos viendo sus amigos (solo se pueden ver los amigos para los que tengas permisos)
Utilizando la explicación que en su dÃa dió Pepelux, si le añades al número de usuario código SQL, la página web se cargará si cumple la condición, y no cargará correctamente si no se cumple la condición.
Por ejemplo;
Si se añade …&other_user=XXXXXXXX+and+1=1 , se está cumpliendo que “uno es igual que uno”, por lo que la página se cargará.
Si se añade …&other_user=XXXXXXXX+and+1=0 , no se está cumpliendo que “uno es igual que cero“, por lo que la página no se cargará correctamente.
Si se tiene conocimientos de SQL se puede crear sentencias para ir averiguando el nombre de las tablas de datos y cada una de sus columnas.
Un ejemplo completo en fáciles palabras que permitÃa sacar la contraseña de cualquier usuario;
“cuenta el número de resultados de la tabla que tiene los usuarios y que el usuario sea el que tiene el código 123456 y su contraseña empieze por H“
select count(*) from registrados where usuario=123456 and substring(contraseña,1,1)=’H’
Si le ponemos la condición de que el número contado sea mayor que cero, solo se cumplirÃa si es verdad que la contraseña del usuario 123456 empieza con H.
http://www.tuenti.com/#m=Search&func=index
&scope=friends_of_a_friend&other_user=XXXXXXXX+and(select count(*) from registrados where usuario=123456 and substring(contraseña,1,1)=’H')>0
De esta forma se puede ir probando cada una de las letras o números, la web solo carga correctamente si es el correcto. El proceso se podrÃa automatizar mediante algún programa informático que lo harÃa rápidamente, aunque para sacar realmente una contraseña se podrÃa hacer a mano en poco rato, ya que las contraseñas en Tuenti se almacenan cifradas en MD5 (32 carácteres en hexadecimal), por lo que cada carácter solo puede ser un dÃgito o una letra de la ‘a’ a la ‘f’
La inyección fallaba algunas veces, ya que si intentabas acceder directamente a la url con el código de inyección escrito, al precargar la página de Tuenti era filtrado y no funcionaba, por lo que habÃa que hacer el camino de visitar un perfil y pulsar en “Ver todos sus amigos”
El fallo fue notificado al equipo de Tuenti y tras unas horas se pusieron en contacto para resolverlo.
Actualización 12-8-2009; Decir que ninguna aplicación informática está libre de fallos, el problema serÃa que Tuenti no reaccionase para solventar los bugs y la verdad es que se toman los asuntos de seguridad bastante en serio.
Secciones
Lo + Visitado
- Saber quién ha visto Mi Perfil
- Invitaciones Tuenti
- Personaliza tu estado del Tuenti
- TuentiPack, Tuenti personalizado, con radio y chat
- Fotos para Tuenti en Tuentix.com
- Edita tus fotos para tuenti en Picnik.com
- Fotos para Tuenti en TuentiFotos.Com
- Tuenti Chat
- TuentiPack v2.1.3, incluso descarga los videos de Tuenti
- Sacar contraseña Tuenti - Te pueden Hackear Tuenti fácilmente
Últimos Comentarios
- fuck yeah en Fotos de la portada de Tuenti desde 2006 a 2010
- fuck yeah en TuentiPlus, incrementar el contador de visitas de tuenti y ver lista de amigos de cualquiera
- yailita gandia en Tuenti-Solidarios
- dckudhv en Personaliza tu estado del Tuenti
- MarÃa en TOP Preguntas y Respuestas de Tuenti
Tuenti Amigos
¿Qué Buscas?
Lo + Comentado de Tuenti
- TuMod, permite Contactos Favoritos, Poner Temas, Contador Visitas, Ampliar Fotos y más
- Tuenti2Twitter, ¿Publicar en Twitter desde Tuenti?
- Tuenti Plus! no es TuentiPlus (TPlus)
- Tuenti personalizado con fondo de la Selección Española de Fútbol
- Tuenti Cam, lanzamiento de Video Chat en Tuenti
- Los cambios ocultos de Tuenti
- Nueva aplicación Tuenti BlackBerry
- Promocionando Tuenti Páginas: Trucos y Utilidades
- Truco para etiquetar fotos desde Tuenti Móvil
Lo + Nuevo de Tuenti
- Los cambios ocultos de Tuenti
- Tuenti2Twitter, ¿Publicar en Twitter desde Tuenti?
- Tuenti Cam, lanzamiento de Video Chat en Tuenti
- TuMod, permite Contactos Favoritos, Poner Temas, Contador Visitas, Ampliar Fotos y más
- Tuenti personalizado con fondo de la Selección Española de Fútbol
- Truco para etiquetar fotos desde Tuenti Móvil
- Promocionando Tuenti Páginas: Trucos y Utilidades
- Nueva aplicación Tuenti BlackBerry
- Tuenti Plus! no es TuentiPlus (TPlus)
- Se podÃa descargar todas las fotos de Tuenti de cualquier usuario: Solventado el fallo
Plantilla de Wordpress Themes y Internet Marketing Center | Traducida por Fernando
Esta web no pertenece a TUENTI TECHNOLOGIES
Datos LSSI -
Privacidad







27 respuestas " Tuenti tiene un fallo que permite sacar datos privados "
29 Agosto 2009
P.D:
Jimi Hendrix rulzzzzzzzzzzzzzzz!
4 Septiembre 2009
no lo entiendo ..
9 Septiembre 2009
bobi
tienes messenger
yo si si tu lo tienes pues me lo dices ok
25 Noviembre 2009
jajaajja que weno
9 Enero 2010
no lo entiendo, alguien me lo podria explicar?
gracias!
25 Enero 2010
Watch TV shows online free, including sports TV, news TV, and movies online. Spreety TV online is your free guide of online TV
27 Marzo 2010
ola me podria ayuadr a recupearar mi conatrseña es ke le doy auna nuava conatraseña y no me ka envian al correo ke puedo hacer ayuda plis