Hackear Tuenti desconectando a todo el mundo
“Dimitrix” nos comunica en http://seguridad.dimitrix.es otro agujero de seguridad en la fase Beta de Tuenti que permite la desconexión automática de la cuenta cada vez que se conecta el usario y visita una parte de Tuenti en la que se haya introducido un mensaje “maligno”.
El bug hace uso del truco para poner fotos en comentarios junto a la url “http://m.tuenti.com/?m=login&func=log_out“ que utiliza Tuenti Móvil para desconectar al usuario. De esta forma se puede construir una url del tipo “http://m.tuenti.com/?m=login&func=log_out&img=dimitrix.jpg“ e insertarla en el mensaje de cualquier comentario en Tuenti, consiguiendo que cualquier usuario al abrir la página dónde se ha insertado el mensaje “maligno” se desconecte automáticamente sin posibilidad de hacer nada.
En la web de Dimitrix detalla como solucionarlo si el mensaje se ha insertado en el tablón, pero puede ser algo más grave si el mensaje se inserta en un evento.
Actualización; Dimitrix ha notificado a Tuenti este bug momentos antes de publicar el artículo en su blog.
Actualización 27-04-2009; El fallo ha sido corregido parcialmente bloqueando insertar en mensajes imágenes que contengan la propia dirección de Tuenti, pero sigue podiendose hacer un uso “indebido”.
Visto en: http://www.tuentiadictos.es/
4 comentarios:
entonces como se puede hacer uso indebido de esto??
eso, ¿como se puede hacer el uso indebido?
jejej yo tambn encontre ese bug jajaja y en una d mis fotos dond entraba la gente salian solos jajajaja k pena k lo ayan kitau era mu gracioso
No entiendo nada :( jupe
Publicar un comentario