Fallo de seguridad en Tuenti que permite obtener datos de usuarios
Se ha descubierto un fallo de seguridad en Tuenti móvil que permite obtener datos de usuarios (email, telefono, contraseña en MD5, nombre, apellidos,…)
En esta ocasión se trata de un fallo SQL Injection (true/false) que permite inyectar instrucciones sql en la base de datos a través del parámetro user_id de la web de Tuenti para móviles;
http://m.tuenti.com/?m=profile&func=reply_to_wall_post&user_id=XXXXXXXX+CODIGO_SQL&post_id=XXXXXXXX
Puedes leer más información en la web de Pepelux
Deja una respuesta