Fallo de seguridad en Tuenti permitía hacer Hijacking
Existía un fallo de seguridad cuando se compartían juegos desde el chat de Tuenti que permitía hacer Hijacking. Para el que lo desconozca, «Hijacking» es un término informático que referencia cualquier técnica ilegal que permita adueñarse o robar algo (generalmente información) por parte de un atacante.
Se podía modificar el nombre del juego que se compartía desde el chat de Tuenti y cuando la víctima con la que estabas chateando recibía la invitación del reto para jugar en el chat, se le podía incluso robar la cuenta de Tuenti o cualquier otro código malintencionado.
Técnicamente se trataba de un bug XSS (Cross-Site Scripting) en el atributo «gamename» del botón «Jugar» cuando se retaba a un contacto desde el chat de Tuenti que permitía inyectar código JavaScript para tomar el control total de la cuenta de la víctima. Detallan más información en el blog de El Lado del Mal y resaltan la rápida actuación del equipo de Tuenti para solventar el fallo.
Deja una respuesta