Bug de seguridad en Tuenti utilizando el Nick

Ya hemos hablado de diversos fallos en Tuenti (aún sigue en su versión Beta) y ha aparecido un nuevo fallo de seguridad que permite prácticamente el control total sobre la cuenta de un usuario. Tal y como cuenta FrikiLog.net, el fallo permite explotar los nick´s del Messenger para hacer un ataque XSS.

Un usuario del Messenger que aún no tenga cuenta en Tuenti puede colocarse un nick que cuando algún amigo del Messenger intente usar la herramienta de Tuenti “¿Amigos en Messenger, Yahoo! o Gmail? ¡Encuéntralos en Tuenti!” para enviar invitaciones, se podría “hackear” cuentas de Tuenti.

Este bug se puede combinar con el truco de tuenti para insertar fotos en comentarios y conseguir, por ejemplo, borrar la cuenta de una víctima conociendo su código ‘csfr’. Puedes visitar la web de FrikiLog.net para conocer todos los detalles de la seguridad en Tuenti.

Decir que yase ha notificado a Tuenti y han sido corregidos algunos detalles peligrosos como por ejemplo de la petición de contraseña para el cambio de la dirección de correo y la publicacción del valor ‘csfr’ en el cierre de sesión.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*Acepta la Política de Privacidad