TuentiDump y Tuenti Security Issues

Tuenti es una red social con millones de usuarios y ello la hace que constantemente sea analizada al máximo a nivel de seguridad. En este caso los chicos de SecurityByDefault y Chema Alonso han realizado un completo análisis técnico sobre la red social, en el que también se han programado algunas herramientas como TuentiDump que permite descargar cuentas de Tuenti.

TuentiDump es un programa que permite descargar la información personal del usuario (nombre, apellidos, dirección, teléfonos, email , twitter, páginas web, …), los mensajes del tablón/wall, las imágenes e información de las fotos y los mensajes privados. Aunque hay alguna información que TuentiDump no descarga (tablones y comentarios en imágenes).

Ya había varios programas que nos permiten descargar el contenido nuestra propia cuenta de Tuenti como por ejemplo TwuentySpy, pero el dato alertador de TuentiDump es que permite analizar el tráfico que circula en una red en la que estemos conectados y puede descargar todo el contenido de una cuenta comprometida aunque no sea la nuestra.

En la web de SecurityByDefault se puede encontrar el enlace al código del programa, aunque requiere ciertos conocimientos técnicos para usarlo.

Además, ElladoDelMal.com recopila el siguiente listado con las principales debilidades en seguridad que tiene Tuenti;

  • Issue 1: La página de login bajo HTTP
  • Issue 2: La página de login bajo HTTP… quieras o no
  • Issue 3: Certificado digital sin validación extendida
  • Issue 4: Certificado digital con cifrados débiles
  • Issue 5: TLS-Renegotiation gap, SSL Resumption y PCI-Compliant
  • Issue 6: Registros PTR publicados en los servidores DNS
  • Issue 7: Servidores sin actualizar
  • Issue 8: Los metadatos
  • Issue 9: La transferencia de datos del perfil sin HTTPs
  • Issue 10: Hijacking en “redes inseguras”
  • Issue 11: No firmado de parámetros en cookie
  • Issue 12: Imágenes de perfiles estáticas
  • Issue 13: Configuración insegura de robots.txt frente a Google
  • Issue 14: Privacidad en los vídeos de Tuenti
  • Issue 16: La API y sus XSS de libro
  • Issue 17: También hay XSS de los de toda la vida sin validación
  • Issue 18: Descuidos en IT. Un proxy abierto al exterior
  • Issue 19: Leaks de IT, Admins y Mega-Admins en Tuenti
  • Issue 20: Relación inmadura con los buscadores de vulnerabilidades

Tuenti no tardará en tomar las correspondientes medidas para solventar estos reportes y ofrecer a sus usuarios la máxima seguridad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*Acepta la Política de Privacidad